악성 매크로가 포함된 RTF, DOC 문서 메일 유포 주의 (2016.3.23)

최근 Dridex Botnet을 이용한 악성 이메일 유포가 기승을 부리고 있는 가운데 또 다시 국내에서 악성 매크로(Macro)가 포함된 RTF, DOC 문서가 첨부된 이메일이 스팸 메일 차단 솔루션을 우회하여 전파된 부분을 확인하였습니다.

 

• 스팸 메일에 첨부된 JS 스크립트 파일을 통한 Locky 랜섬웨어 감염 주의 (2016.3.17)

• Invoice 악성 메일에 첨부된 MS Word 매크로 악성코드 유포 주의 (2016.3.18)

일반적으로 Dridex 계열은 감염에 성공할 경우 금융 정보 탈취, 추가적인 악성 파일 다운로드, 랜섬웨어(Ransomware) 행위, 백신 무력화, 감염된 PC 정보 유출 등의 악의적 행위를 수행할 수 있습니다.

• 메일 제목 : Urgent: F750944 ACCSYS TECHNOLOGIES/ HPE
• 메일 제목 : Urgent: F773229 Cape plc/ HPE

긴급(Urgent) 메일처럼 제목을 구성한 메일에는 2종의 RTF, DOC 문서가 첨부되어 있으며, 수신자로 하여금 문서 파일을 오픈하도록 유도할 목적으로 메일 내용이 포함되어 있습니다.

• 첨부 파일 : ACCSYS TECHNOLOGIES_inv_tracker_2202.rtf 또는 ACCSYS TECHNOLOGIES_tracker.doc (SHA-1 : c00d74fda3896541b2bb51c42994956653f45aa5) - Microsoft : TrojanDropper:O97M/Bartallex

• 첨부 파일 : Cape plc_inv_tracker_4313.rtf 또는 Cape plc_tracker.doc (SHA-1 : 3636122db148bfe5540c3f9b5a9b89e8e608f61f) - Trend Micro : W2KM_DRIDEX.DY

메일에 첨부된 MS Word 문서를 실행하면 문서는 공란으로 표시하여 매크로(Macro)를 실행하도록 유도하고 있습니다.

참고로 해당 DOC 문서는 2016년 3월 20일경 러시아(Russia) 언어를 사용하는 환경에서 제작된 것으로 보입니다.

• h**p://connect.businesshelpa**.com/dana/home.php

사용자가 매크로(Macro) 실행을 허용할 경우 "C:\Users\(로그인 계정명)\AppData\Local\Temp\dsfsdfsdf.VBE" 스크립트 파일(SHA-1 : 5db049a09934243ef28b6511e7ed356e0fb5542e - Microsoft : TrojanDownloader:VBS/Drixed)을 생성 및 실행하여 특정 서버에서 imgsrc.jpg 파일 다운로드를 시도합니다.

다운로드된 imgsrc.jpg 파일은 "C:\Users\(로그인 계정명)\AppData\Local\Temp\cdsadd.exe" 파일(SHA-1 : c643d62f0c5cfc87db063c166fbb9a0127d7efc6 - avast! : Win32:Trojan-gen)로 자가 복제하여 실행되며, "h**ps://154.120.229.44:4043" 서버와의 통신을 통한 PC 정보 체크 후 추가적인 악의적 행위 수행 또는 자가 삭제 처리될 수 있습니다.

 

지속적으로 이메일 첨부 파일을 통한 유포 행위가 발생하고 있으며, 사용자의 부주의에 의한 파일 실행 시 취약점(Exploit)이 없는 PC 환경에서도 감염이 발생하므로 특히 해외에서 발송된 메일 첨부 파일 또는 의심스러운 URL 링크는 함부로 실행하는 일이 없도록 주의하시기 바랍니다.