엑셀파일(.xls)을 포함한 악성메일이 지속적으로 증가하고 있어 사용자들의 각별한 주의가 필요할 것으로 보입니다.
발신자 : alva.kao@psamc.com 외 다수
제목 : 초대
첨부파일 : 973F68.xls (임의의 숫자)
메일 본문 내용은 국세법을 위반하였으니 피고인 자격으로 국세청에 출두해야 된다는 내용이 포함되어 있으며, 사용자가 첨부파일을 열어보도록 유도를 하고 있습니다.
첨부파일을 실행하면 다음과 같은 화면이 뜨면서 상단부분에 콘텐츠 사용하기라는 버튼이 표시 됩니다.
콘텐츠 사용하기 버튼을 누를경우 매크로가 실행되면서 악성코드 유포지로 접속을하여 특정파일을 내려받아 악성행위를 수행하고 있습니다.
악성행위 순서
#1 0x9c8 excel.exe "C:\Program Files\Microsoft Office\Root\Office16\EXCEL.EXE" -
#2 0x4f4 cmd.exe cmd.exe /c 234.exe #1
#4 0x7d0 234.exe 234.exe #2
#5 0x900 net.exe net group /domain #4
#6 0x768 net1.exe C:\Windows\system32\net1 group /domain #5
#7 0x318 cmd.exe "C:\Windows\system32\cmd.exe" /c del C:\Users\aETAdzjz\Desktop\234.exe >> NUL #4
엑셀파일을 포함한 악성메일은 꾸준히 날로 증가하고 있으며, 악성 메일을 보내는 패턴도 다양해 지고 있습니다. 최신 패턴의 경우 백신도 우회를 할수 있으므로 의심스러운 메일을 열람을 금지하는게 좋을것 같습니다. 최신 패턴이 발견될 경우 백신도 업데이트가 되므로 항상 백신을 최신으로 유지하시기를 추천드립니다.
'Code::보안이슈' 카테고리의 다른 글
| 보안분석 : 입사지원서를 위장한 첨부파일(.7z) 악성메일 유포 주의 추가 (2019.10.08) (0) | 2019.10.08 |
|---|---|
| 보안분석 : 국세청을 위장한 첨부파일(.html) 악성메일 유포 주의 (2019.05.30) (0) | 2019.05.30 |
| 보안분석 : 엑셀(xls) 파일을 포함한 악성메일 유포 주의 (2019.05.08) (0) | 2019.05.08 |
| 보안분석 : 온라인 팩스 서비스 WiseFax를 사칭한 악성메일 유포 주의 (2019.05.08) (0) | 2019.05.08 |
| NAS가 자체 개발한 리버스 엔지니어링 프레임워크 배포 (0) | 2019.04.18 |