MS 윈도우 압축 헤더(CAB)를 악용한 배치 파일(*.cmd) 악성코드 ModiLoader(DBatLoader) 유포 주의
2024년 12월, AhnLab SEcurity intelligence Center(ASEC)은 자사 메일 허니팟을 통해 MS 윈도우 압축 헤더(CAB)를 악용한 배치 파일(*.cmd)형 악성 코드가 유포됨을 확인하였다. 해당 악성코드는 ModiLoader(DBatLoader)라 불리며, 발주서(PO)로 유포되고 있었다. 과거와 다른 점은 *.cmd(배치 파일) 확장자를 사용하지만 실제로는 CAB 압축 헤더 포맷을 악용해 악성코드를 생성 후 실행하는 Loader 형 악성코드라는 것이다.
CMD파일로 유포되는 DBatLoader
AhnLab SEcurity intelligence Center(ASEC)은 최근에 CMD 파일을 통해 유포 중인 악성코드를 확인했으며 과거에 피싱 이메일에 EXE파일을 포함한 RAR파일 형태로 유포하던 DBatLoader(ModiLoader)라는 Downloader 악성코드임을 확인했다. 해당 파일은 “UTF-16LE”를 의미하는 “FF, FE”가 포함되어 있어 내부 코드를 텍스트 에디터로 열었을 때 코드의 내용이 정상적으로 출력되지 않는다. 하지만, “FF, FE”를 삭제 하거나 “UTF-8″로 변환하면
