* 출처는 안랩입니다.
* 구직자 울리는 악성코드 유포 중이니 조심하세요!
안랩은 최근 ‘특정 회사의 인력 모집 기준’에 대한 내용을 담은 악성 문서파일의 유포 사례를 발견해 사용자의 주의를 당부했다.
이번 공격은 구직과 관련한 내용으로 사용자들의 접근을 유도하고 있으며, 지난 4월초 발견된 ‘상여금 발급 청구서’로 위장한 공격과 동일한 수법을 사용하고 있다.
[그림 1] 안내 화면을 위장한 단순 그림
이 메일의 첨부된 파일을 클릭하면 편집을 활성화하면 기사 내용을 읽을 수 있다고 안내함으로써 문서 상단의 ‘콘텐츠 사용’을 누르도록 유도한다([그림 1] 참고). 이 화면은 Microsoft에서 제공되는 안내 문구 화면이 보이지만 이는 단순 캡처된 그림 파일로, 해당 그림의 투명도를 조절하여 뒤의 표([그림 2])를 살짝 가린 형태로 문서 내용을 구성하고 있다.
[그림 2] 인력 모집 기준 내용
해당 문서는 실행과 동시에 외부 URL에 접속하여 추가 악성 파일을 내려 받는다. 이러한 과정을 거쳐 최종적으로 CPU가 4개 이상일 경우 특정 네트워크에 접속하여 추가 데이터를 다운로드하는 것으로 알려졌다.
[그림 3] 도용 인증서 및 문서 수정 날짜
이 악성코드는 국내 대형 게임업체의 인증서를 도용하여 정상 파일로 위장하려 했다는 점도 특이점으로 볼 수 있다([그림 3] 참고).
https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=29235&utm_source=CM&utm_medium=eDM&utm_campaign=SL%5FtypeC&utm_content=81