Home > 전체기사

[긴급] ‘디자인 수정 요청’ 이름의 악성 메일, 국내 유포중

  |  입력 : 2021-12-06 16:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
‘콘텐츠 사용’ 기능 활용한 악성 매크로 포함...악성 파일 다운로드해 정보 탈취

[보안뉴스 원병철 기자] 최근 국내 사용자를 대상으로 한 악성 워드 문서가 유포되고 있다고 안랩 ASEC 분석팀이 밝혔다. 이 문서의 파일명은 ‘디자인수정 요청.doc’로 매크로 실행을 유도하는 이미지가 포함되어 있다.

▲워드 문서에 포함된 이미지[자료=안랩 ASEC]


해당 워드 파일 내부에는 아래와 같이 ‘hxxp://filedownloaders.com/doc09’에서 추가 파일을 다운로드하는 악성 매크로가 포함되어 있다. 사용자가 콘텐츠 사용 버튼 클릭 시 매크로가 자동으로 실행되어 추가 악성 파일을 다운로드한다.

▲디자인수정 요청.doc에 포함된 매크로 코드 일부[자료=안랩 ASEC]


이후 다운받은 temp.doc 문서 파일을 실행한다. 해당 워드 문서는 아래와 같이 국내 기업을 사칭한 내용을 담고 있다.

▲temp.doc 본문 내용[자료=안랩 ASEC]


temp.doc에는 앞서 다운로드한 no1.bat 파일을 실행시키는 매크로가 포함되어 있다. 워드 파일을 통해 실행된 ‘no1.bat’은 ‘vvire.bat’을 실행시킨다. vvire.bat이 존재하지 않을 경우 ‘hxxp://filedownloaders.com/doc09/vbs6.txt’에서 다운로드한 ‘setup.cab’ 파일의 압축 해제 후 ‘vvire.bat’을 실행한다.

▲no1.bat 파일 내부[자료=안랩 ASEC]


vvire.bat은 레지스트리 등록 및 no4.bat 파일 실행, 추가 파일 다운로드 기능을 수행한다.

▲vvire.bat 파일 내부[자료=안랩 ASEC]


‘Start.vbs 파일을 레지스트리에 등록해 vvire.bat 파일이 자동으로 실행될 수 있도록 하며, no4.bat 실행 후 no1.bat을 삭제한다. 이후 특정 파일이 존재하는지 확인해 ‘hxxp://senteroman.com/dow11/%COMPUTERNAME%.txt’에서 추가 파일을 다운로드 및 실행한다. 현재 해당 파일의 경우 다운로드가 되지 않아 확인이 불가능하다는 게 안랩 ASEC 분석팀의 설명이다.

vvire.bat을 통해 실행된 no4.bat 에서는 아래의 사용자 PC의 정보를 수집하여 hxxp://senteroman.com/upl11/upload.php로 유출하는 기능을 수행한다.

·C:\Users\%username%\downloads\ 목록
·C:\Users\%username%\documents\ 목록
·C:\Users\%username%\desktop\ 목록
·C:\Program Files\ 목록
·ip정보
·tasklist
·systeminfo


no4.bat 실행 시 C:\Users\Public\Documents\ 폴더에 아래와 같이 수집된 정보가 포함된 파일들이 생성되며, 수집한 정보를 업로드 했을 시 upok.txt 파일을 생성한다.

▲생성된 파일 목록[자료=안랩 ASEC]


안랩 ASEC 분석팀은 “해당 악성코드와 같이 문서 내부에 매크로 사용을 유도하고 정상적인 사용자를 사칭하는 본문 내용을 가진 악성 파일은 꾸준히 유포되고 있어 사용자의 주의가 필요하다”면서, “문서에 포함된 매크로가 자동으로 실행되지 않도록 설정하고 의심스러운 문서의 열람을 자제해야 한다”고 조언했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화