보안분석 : 악성 매크로 파일을 포함한 악성메일 유포 주의 (2019.02.19)

최근 다양한 형태의 악성매크로 파일을 포함하여 악성메일이 유포되고 있어 주의가 필요할 것으로 보입니다.

발신자 : 다수의 발신자

제목 : 송장_00190821 / 요청한 문서 / No subject (제목없음)

첨부파일명 : 송장_00190821.doc / temp_[13자리 숫자]_[10자리숫자].xls / 2019-02-19_0841.zip

메일을 살펴보시면 시루정보의 정재민 차장을 사칭하는 명함이 포함되어 있고, 송장_00190821.doc 문서파일을 첨부하고 있습니다. 첨부파일을 실행 시키면 상단에 노란색 보안경고 창이 나타나며 [사용하기]를 누를경우 악성 매크로를 수행하게 이루어져 있습니다.

첨부파일의 속성을 보시면 실제 매크로가 포함되어 있는것을 알수 있으며, 최종 수정 일시는 19일 새벽에 추측이 됩니다.

Sub LoadQuestions()         db.sql = "SELECT * FROM questions ORDER BY created_at DESC;"         db.fill (dgvQuestions)     End Sub      Sub LoadToolStripMenuItem_Click(sender, e)      Hand.les LoadToolStripMenuItem.Click         LoadQuestions     End Sub      Sub welcome_Load(sender, e)      Hand.les MyBase.Load         LoadQuestions     End Sub

문서의 매크로 소스의 일부분 입니다. 소스코드를 보시면 정찰형태의 시스템정보 탈취형 악성코드로 추측이 되며, 지속 적으로 악성메일이 꾸준히 유포될 것으로 보입니다.

바이러스 토탈 조회시 현재 악성으로 탐지하고 있는 백신의 종류 입니다. 백신 업데이트는 최신으로 업데이트가 필요할 것으로 보입니다.

바이러스 토탈에서 분석된 내용 입니다.

발신자, 제목, 첨부파일 등은 수시로 바뀔수 있으며, 의심메일은 확인이 필요할 것으로 보입니다.