반응형
최근 한솔제지를 사칭한 신종 랜섬웨어가 유포되고 있는 정황이 확인 되었습니다.
발신자 : penny@amerathon.com 외 다수
제목 : 한솔제지(주) 발주서 송부
첨부파일명 : 구매오더4500286249.xls
파일해시값
dccf4808f742270c24b709f8813d02e2d39a645bb852306e9ef5eae0bd52554e
메일에는 구매오더4500286249.xls 첨부파일이 포함되어 있습니다.
해당 파일을 실행시킬 경우 악성매크로 허용을 유도 하고 있으며, 매크로 실행시 202.168.154.158 접속후 임시폴더에 lib1 이라는 악성파일을 다운로드 받습니다.
해당파일은 Microsoft Installer 형태를 가지고 있으며, 윈도우 정상 인스톨러 msiexec.exe를 통해 해당 PC에 설치를 합니다.
설치화면( %WINDIR%\System32\msiexec.exe)
이렇게 최종적으로 여러단계를 거치면서 마지막으로 http://92.38.135.204/1.tmp 접속하여 wsus.exe 실행 파일을 받은후 악성 행위를 수행하게 됩니다.
악성코드를 받는 URL 및 주소는 수시로 변경이 되니 이점 참고 하시기 바랍니다.
이처럼 신종 악성코드인경우 백신에서 탐지가 어려우므로 의심가는 메일 및 파일에 대하여 열람을 금지 하시기 바랍니다.
반응형
'Code::보안이슈' 카테고리의 다른 글
| 보안분석 : 입사지원서를 위장한 첨부파일(.egg) 악성메일 유포 주의 추가 (2019.04.18) (0) | 2019.04.18 |
|---|---|
| 보안분석 : 입사지원서를 위장한 첨부파일(.alz) 악성메일 유포 주의 추가 (2019.04.10) (0) | 2019.04.10 |
| 보안분석 : 법원을 사칭한 악성 메일 유포 주의 (2019.03.27) (0) | 2019.03.27 |
| 보안 분석 : 한국 은행을 사칭한 악성 메일 유포 주의 (2019.02.27) (0) | 2019.02.27 |
| 보안분석 : 악성 매크로 파일을 포함한 악성메일 유포 주의 추가 (2019.02.27) (0) | 2019.02.27 |