'국내 암호화폐 거래소 신입사원 인력양식' 바카라 라이브 위장한 악성메일 주의!

최근 이메일을 통해 '국내 암호화폐 거래소 신입사원 인력양식'이라는 파일명바카라 라이브 악성코드가 유포중임이 확인되었습니다.

공격자는 ‘OOOOO신입 사원 입력 양식’이라는 제목의 바카라 라이브문서를 통해 사용자의 문서 열람&실행을 유도합니다.

이 바카라 라이브문서가 실행되면, 정상적인 MS오피스 다운로드 주소처럼 속인 가짜 경로로부터 바카라 라이브 매크로가 담긴 ‘dotm’ 문서 파일을 추가 다운로드 및 실행합니다.

이 형태는 지난 4월에 직원 상여금 발급청구서로 바카라 라이브하여 유포되었던 케이스와 거의 유사합니다.

[그림 1] ‘upbit 바카라 라이브 사원 입력 양식.docx’ 실행 화면

내장된 매크로 코드는 C&C(https://products-msofficeclient.office.microsoft.office-microsoft.cc/2.html)로부터 html 파일을 다운로드하는 기능을 가지고 있습니다.

추가 다운로드 데이터인‘MicrosoftEdgeUpdate.exe’와 ‘msedgeupdate.dll’는Base64로 인코딩되어 있습니다.

인코딩된 추가 데이터의 디코딩 및 실행을 위해 다이얼로그 박스를 이용하며, ‘UserForm’을 숨김바카라 라이브 설정하여 사용자의 의심을 회피하고 있습니다.

추가 파일은‘C:\Users\Public\Documents\’ 하위 ‘MicrosoftEdgeUpdate.exe’, ‘msedgeupdate.dll’ 파일 명바카라 라이브 생성됨을 확인했습니다.

[그림 2] ‘2.html’ 로드 코드

아래는 ‘2.html’ 파일 내용 일부입니다.

[그림 3] 인코딩된 ‘msedgeupdate.dll’가 포함된 ‘2.html’

‘MicrosoftEdgeUpdate.exe’ 실행 코드는 아래와 같습니다.

[그림 4] 드롭된 ‘MicrosoftEdgeUpdate.exe’ 실행 코드

이 프로그램은 ‘Windows Edge’ 업데이트 프로그램바카라 라이브써 악성코드인 ‘msedgeupdate.dll’을 로드하는 기능에 악용됩니다.

[그림 5] ‘msedgeupdate.dll’ 로드 코드

‘msedgeupdate.dll’은 XOR 연산바카라 라이브 은폐된 코드를 디코딩하여 실행합니다. 또한 이 코드는 사전에 세팅된 공격자 서버로부터 추가 페이로드 다운로드기능을 수행하기도 합니다.

[그림 6] 은폐된 코드를 xor 연산하는 코드

[그림 7] 페이로드 다운을 위한 C&C(‘han.naver2020.me’) 연결 화면

이렇게 C&C로부터 원격 제어 기능을 가지는 CobaltStriker 악성코드가다운로드 및 실행되면,감염된 PC의 기본 정보(현재 실행 프로세스, 아이피 정보, 사용자명, 컴퓨터명)을 인코딩하여 쿠키 값바카라 라이브 정보를전송합니다.

[그림 8] 쿠키 값바카라 라이브 정보를 전송하는 화면

공격자들은 지속적바카라 라이브 특정 타깃을 대상바카라 라이브 공격을 시도하고 있으므로 일단출처가 불분명한 바카라 라이브을 열람시 반드시 주의를 기울여야 하며, 특히 첨부파일 열람은 되도록 삼가해야 합니다.

알약에서는 해당 바카라 라이브코드에 대해Trojan.Downloader.DOC.Gen/Trojan.Agent.103520N로 탐지중입니다.