Word

MS Media Player 이용한 악성 워드문서 (안랩사칭)

ASEC 분석팀은 지난주 “기업 사용자 타겟의 악성 워드 문서 유포 중“에서 작성한 유형의 악성 워드 문서가 안랩을 사칭하는 문구를 포함하여 유포되고 있음을 확인하였다. 이번에 확인된 워드 문서는 External 연결을 통해 악성 VBA 매크로가 포함된 워드 문서를 다운로드 받아 실행하는 방식으로 동작한다. 또 다른 차이점은 추가로 다운로드된 워드 문서에서 악성 VBA 매크로를 자동으로 실행하기 위해 기존의 AutoOpen() 함수가 아닌 Windows Media Player() 함수를 이용하였다는 점이다. 이는 AutoOpen() 함수 기반의 매크로 자동 실행을 탐지하는 보안 제품을 우회하기 위한 시도로 추정된다. 확인된 문서의…

기업 사용자 타겟의 악성 워드문서 유포 중

ASEC 분석팀은 기업 사용자를 타켓 한 것으로 추정되는 워드 문서를 확인하였다. 확인된 워드 문서는 다른 악성 문서와 마찬가지로 매크로 실행 유도하는 이미지가 존재한다. 또한, 정상 문서처럼 보이도록 하기 위해 매크로 실행 시 Google 계정 보안 강화와 관련된 내용이 노출되고 최종적으로 추가 악성코드 다운로드 및 사용자 정보 유출 행위를 수행한다. 확인된 악성 워드 문서 실행 시 경고창 이미지가 보여지며 ‘공공서식 한글에서 작성된 서식파일’이라고 언급하며 문서 내부에 존재하는 VBA 매크로 실행을 유도한다. 또한, 우측에 존재하는 메모를 통해 Microsoft 작성한 것처럼 보이도록 하였으며…

제품소개서로 위장한 악성 워드 문서

ASEC 분석팀은 작년 12월에 게시한 <디자인수정 요청 문서로 위장한 정보 탈취 목적의 악성 워드>와 동일한 유형의 워드 문서를 확인하였다. 이번에 확인된 워드 문서의 제목은 ‘제품소개서.doc’이며 내부에 특정 제품들에 대한 설명을 포함하고 있는 것으로 보아 물류, 쇼핑 관련 업체를 타겟한 공격으로 추정된다. 확인된 워드 문서 내부에는 이전과 동일한 이미지가 포함되어 있어 매크로 실행을 유도한다. 해당 워드 문서는 ‘디자인수정 요청.doc’ 파일과 만든 날짜, 만든 이와 마지막으로 수정한 사람 정보가 모두 동일하다. 이를 통해 공격자가 동일한 파일을 수정하여 사용하고 있는 것으로 추정된다. 문서…

워드문서 이용한 APT 공격 시도 (External 연결 + VBA 매크로)

ASEC 분석팀은 최근 방송사 기자를 대상으로 APT 공격 시도를 위한 악성 워드 문서 파일을 유포 중인 정황을 확인하였다. 메일 제목 및 본문은 아래와 같이 되어있으며, 첨부파일인 압축 파일 내부에는 워드 문서가 포함되어 있다. 파일명 : 사내 금융업무 상세내역.docx 워드문서를 실행하면 아래와 같은 내용이 사용자에게 보여지고, 백그라운드에서는 External URL을 이용하여 워드 매크로(dotm) 파일을 다운로드 받아 실행한다. URL : hxxp://ms-work.com-info.store/dms/0203.dotm 다운로드된 “0203.dotm” 이름의 워드 매크로 파일에는 아래와 같은 매크로가 작성되어 있으며, 기존 워드 파일의 사용자 지정 속성에 있는 값들을 이용하여 같은 경로…

디자인수정 요청 문서로 위장한 정보 탈취 목적의 악성 워드

ASEC 분석팀은 국내 사용자를 대상으로 한 악성 워드 문서가 유포되고 있음을 확인하였다. 파일명은 디자인수정 요청.doc 로 아래와 같이 매크로 실행을 유도하는 이미지가 포함되어있다. 해당 워드 파일 내부에는 아래와 같이 hxxp://filedownloaders.com/doc09 에서 추가 파일을 다운로드하는 악성 매크로가 포함되어있다. 사용자가 콘텐츠 사용 버튼 클릭 시 매크로가 자동으로 실행되어 추가 악성 파일을 다운로드한다. 이후 다운받은 temp.doc 문서 파일을 실행한다. 해당 워드 문서는 아래와 같이 국내 기업을 사칭한 내용을 담고 있다. temp.doc 에는 앞서 다운로드한 no1.bat 파일을 실행시키는 매크로가 포함되어 있다. 워드 파일을 통해…