더욱 정교해진 악성 PPT 를 통해 AgentTesla 유포 중
ASEC 분석팀은 작년부터 꾸준하게 유포되고 있는 악성 PPT 파일에 대해 소개해왔다. 최근에는 악성 PPT 파일에서 실행되는 스크립트에 다양한 악성 기능이 추가 된 것을 확인하였다. 악성 PPT 파일이 실행되는 방식은 기존에 소개해왔던 방식과 동일하며, 악성 스크립트에 의해 추가 악성코드 실행, Anti-AV, UAC bypass 등의 기능을 수행한다. PPT 파일 실행시, 아래와 같이
Outlook.exe 를 이용한 악성 PPT 매크로 유포 중
최근 ASEC 분석팀은 꾸준하게 유포되고 있는 악성 PPT 파일의 변형을 확인하였다. 기존과 동일하게 mshta.exe 를 이용하여 악성 스크립트를 실행하는 동작 방식으로, 중간 과정에서 outlook.exe 프로세스를 이용하는 방식이 추가되었다. 악성 PPT 파일은 아래와 같이 피싱 메일의 첨부 파일을 통해 유포되고 있으며, 구매 문의와 관련된 내용을 포함하고 있다. 또한 이전 유형과 동일하게
파일리스로 동작하는 Remcos RAT 악성코드
ASEC 분석팀은 악성 Excel 매크로파일을 통해 Remcos RAT 악성코드가 유포되는 것을 확인하였다. Remcos RAT 악성코드에 대해서는 본문 하단에 링크한 게시글을 통해 상세하게 소개한 바 있다. 스팸메일을 통해 유입되는 방식은 동일하지만, 여러 단계의 로더를 거쳐서 최종적으로 Remcos RAT 악성코드가 파일리스로 동작한다는 것이 주목할 부분이라고 할 수 있다. 전체적인 동작 방식을 요약하면
사례비 의뢰서 위장 악성 워드 (External 연결 + VBA 매크로)
문서형 악성코드가 유행이라고 해도 과언이 아닐 만큼 다양한 형태의 악성 문서(HWP, WORD, EXCEL, PDF 등)들이 유포되고있어, ASEC 분석팀에서도 그간 해당 블로그에 다수 관련 내용을 제공해왔다. 그리고 이번에도 새로운 형태의 악성 워드(WORD)문서가 확인되어 이에 대해 알리려한다. ‘사례비지급 의뢰서’로 위장한 악성 워드 형태이며 기존과 조금 다른 점은 악성 External 연결과 VBA 매크로를
