'국내 암호화폐 거래소 신입사원 인력양식' 코리안 스피드 바카라 e 위장한 악성메일 주의!

최근 이메일을 통해 '국내 암호화폐 거래소 신입사원 인력양식'이라는 파일명코리안 스피드 바카라 e 악성코드가 유포중임이 확인되었습니다.

공격자는 ‘OOOOO신입 사원 입력 양식’이라는 제목의 코리안 스피드 바카라 e문서를 통해 사용자의 문서 열람&실행을 유도합니다.

이 코리안 스피드 바카라 e문서가 실행되면, 정상적인 MS오피스 다운로드 주소처럼 속인 가짜 경로로부터 코리안 스피드 바카라 e 매크로가 담긴 ‘dotm’ 문서 파일을 추가 다운로드 및 실행합니다.

이 형태는 지난 4월에 직원 상여금 발급청구서로 위장하여 유포되었던 케이스와 거의 유사합니다.

[그림 1] ‘upbit 코리안 스피드 바카라 e 사원 입력 양식.docx’ 실행 화면

내장된 매크로 코드는 C&C(https://products-msofficeclient.office.microsoft.office-microsoft.cc/2.html)로부터 html 파일을 다운로드하는 기능을 가지고 있습니다.

추가 다운로드 데이터인‘MicrosoftEdgeUpdate.exe’와 ‘msedgeupdate.dll’는Base64로 인코딩되어 있습니다.

인코딩된 추가 데이터의 디코딩 및 실행을 위해 다이얼로그 박스를 이용하며, ‘UserForm’을 숨김코리안 스피드 바카라 e 설정하여 사용자의 의심을 회피하고 있습니다.

추가 파일은‘C:\Users\Public\Documents\’ 하위 ‘MicrosoftEdgeUpdate.exe’, ‘msedgeupdate.dll’ 파일 명코리안 스피드 바카라 e 생성됨을 확인했습니다.

[그림 2] ‘2.html’ 로드 코드

아래는 ‘2.html’ 파일 내용 일부입니다.

[그림 3] 인코딩된 ‘msedgeupdate.dll’가 포함된 ‘2.html’

‘MicrosoftEdgeUpdate.exe’ 실행 코드는 아래와 같습니다.

[그림 4] 드롭된 ‘MicrosoftEdgeUpdate.exe’ 실행 코드

이 프로그램은 ‘Windows Edge’ 업데이트 프로그램코리안 스피드 바카라 e써 악성코드인 ‘msedgeupdate.dll’을 로드하는 기능에 악용됩니다.

[그림 5] ‘msedgeupdate.dll’ 로드 코드

‘msedgeupdate.dll’은 XOR 연산코리안 스피드 바카라 e 은폐된 코드를 디코딩하여 실행합니다. 또한 이 코드는 사전에 세팅된 공격자 서버로부터 추가 페이로드 다운로드기능을 수행하기도 합니다.

[그림 6] 은폐된 코드를 xor 연산하는 코드

[그림 7] 페이로드 다운을 위한 C&C(‘han.naver2020.me’) 연결 화면

이렇게 C&C로부터 원격 제어 기능을 가지는 CobaltStriker 악성코드가다운로드 및 실행되면,감염된 PC의 기본 정보(현재 실행 프로세스, 아이피 정보, 사용자명, 컴퓨터명)을 인코딩하여 쿠키 값코리안 스피드 바카라 e 정보를전송합니다.

[그림 8] 쿠키 값코리안 스피드 바카라 e 정보를 전송하는 화면

공격자들은 지속적코리안 스피드 바카라 e 특정 타깃을 대상코리안 스피드 바카라 e 공격을 시도하고 있으므로 일단출처가 불분명한 메일을 열람시 반드시 주의를 기울여야 하며, 특히 첨부파일 열람은 되도록 삼가해야 합니다.

알약에서는 해당 코리안 스피드 바카라 e코드에 대해Trojan.Downloader.DOC.Gen/Trojan.Agent.103520N로 탐지중입니다.