급여명세서로 유포 중인 Qakbot 악성코드 (*.xlsb) Posted By ASEC , 2020년 10월 13일 뱅킹형 악성코드로 알려진 QakBot(이하 QBot)이 최근 국내 사용자를 대상으로 유포되고 있음을 확인하였다. QBot은 2008년부터 존재했던 오래된 악성코드이다. 그러나 올 해부터 유포량이 급증해 해외에서 자주 거론된 바 있으며, 8월부터는 국내 사용자를 타겟으로 유포되고 있어 해당 블로그에서 소개하였다. 8월에는 VBS(Visual Basic Script)를 사용해 악성 실행 파일을 다운로드 하였다. 하지만 최근에는 다운로드 방식을 수식 매크로(Excel 4.0 Macro)를 사용해 악성 실행 파일을 다운로드한다. 수식 매크로(Excel 4.0 Macro)는 문서 바이러스가 유행했던 옛 방식이지만 최근에 다른 악성코드에서도 자주 사용되고 있는 방식이기도 하다. Qakbot의 첫 유입은 Phishing Mail로…
악성 매크로를 통해 국내 유포 중인 Qbot 악성코드 Posted By ASEC , 2020년 9월 16일 ASEC 분석팀은 지난 8월부터 Qbot(Qakbot) 을 다운로드하는 문서 파일이 국내에 지속적으로 유포중인 것을 확인하였다. 해당 문서는 악성 매크로를 포함하고 있으며, 매크로 실행시 추가 악성 파일을 다운로드하게 된다. 다운로드되는 Qbot 악성코드는 지난 6월부터 아래의 해외 사이트를 통해 유포 정황이 소개되었다. (6월 15일) https://www.bleepingcomputer.com/news/security/us-bank-customers-targeted-in-ongoing-qbot-campaign/ (8월 20일) https://blog.morphisec.com/qakbot-qbot-maldoc-two-new-techniques (8월 31일) https://securityaffairs.co/wordpress/107731/malware/qbot-new-infection-chain.html 악성 매크로가 포함된 문서를 실행하게 되면, 아래와 같은 문구를 통해 사용자의 호기심을 유발한다. 문구에는 보호된 콘텐츠를 보기 위해 아래 동작을 수행하라는 내용을 포함하고 있으며, 매크로 사용 버튼을 클릭하도록 유도하고 있다. 또한…
