스마트한 쇼핑검색, 다나와! : 가격비교 사이트

다나와 앱
다나와 앱 서비스 목록
다나와 APP
다나와 가격비교 No.1 가격비교사이트 다나와 앱으로
간편하게 최저가를 확인하세요.
- -
QR코드
빈 이미지
다나와 앱 서비스 목록 닫기

입사지원서로 위장한 악성코드 주의하세요!

IP
2023.06.09. 11:26:17
조회 수
286
5
댓글 수
12

공유하기

레이어 닫기

지금 보는 페이지가 마음에 든다면
공유하기를 통해 지인에게 소개해 주세요.

로그인 유저에게는 공유 활동에 따라
다나와 포인트가 지급됩니다.

자세히 >

URL이 복사되었습니다.
원하는 곳에 붙여넣기(Ctrl+V)하세요.

레이어 닫기

* 출처는 안랩입니다.


안랩 ASEC 분석팀이 입사지원서로 위장한 악성코드 유포 중인 정황을 확인했다

이 악성코드는 안랩의 V3Lite.exe를 비롯해 다양한 백신 프로세스의 존재 여부를 확인하는 기능탑재했으며

국내 구인 및 구직 사이트와 유사한 악성 URL을 통해 유포되고 있다해당 악성코드가 유포되는 과정을 살펴보자.

 

이번에 확인된 다운로드 URL은 다음과 같다.


Ÿ   hxxps://manage.albamon[.]info/download/20230201good001/%EC<생략>_%EC%9E%85%EC%82%AC%EC%A7%80%EC%9B%90%EC%84%9C.hwp.scr

Ÿ   hxxps://manage.albamon[.]live/23_05_15_05/%EC%<생략>_%EC%9E%85%EC%82%AC%EC%A7%80%EC%9B%90%EC%84%9C.hwp.scr

Ÿ   hxxps://manage.albamon[.]live/23_05_22_Fighting_ok/%EC<생략>_%EC%9E%85%EC%82%AC%EC%A7%80%EC%9B%90%EC%84%9C.hwp.scr 

 


[그림 1] 악성코드 다운로드 파일

 

[그림 1]의 URL을 통해 다운로드 되는 악성 파일은 [그림 2]처럼 화면보호기(.scr) 확장자 및 한글 문서(.hwp) 아이콘의 형태를 띄고 있다파일 실행 시 [그림3]과 같이 내부 RCDATA에 존재하는 압축 파일 데이터가 ‘%Public%\[6자리 랜덤 문자].zip’으로 저장된다.


[그림 2] **_입사지원서.hwp.scr 속성

 


[그림 3] RCDATA에 존재하는 데이터

 


[그림 4] 압축 파일

 

이후 %Public%\Documents\Defender\[6자리 랜덤 문자폴더에 위 파일을 압축 해제해 추가 파일을 생성한다. wechatweb.exe의 경우 파일명이 6자리의 무작위 문자로 생성되며생성된 파일은 [그림 5]와 같다.


[그림 5] 생성된 파일

 

파일명

기능

lim_b_n.hwp

정상 한글 파일

cmcs21.dll

yga.txt 디코딩 및 실행

wechatweb.exe ([6자리 랜덤 문자].exe)

cmcs21.dll 로드

yga.txt

인코딩된 악성 데이터

[표 1] 파일 별 기능

이후 %Public%\Music\[6자리 랜덤 문자폴더를 생성한 다음, InternetShortcut 파일을 만들어 앞서 생성한 정상 한글 파일과 wechatweb.exe([6자리 랜덤 문자].exe)가 실행되도록 한다해당 바로가기 파일은 실행 후 삭제된다.


[그림 6] 한글 문서 실행 바로가기 파일

 


[그림 7] Exe 파일 실행 바로가기 파일

 

 

[그림 6]의 바로가기 파일을 통해 실행된 한글 문서는 [그림 8]과 같이 입사지원서 양식의 정상 문서이다.


[그림 8] 정상 한글 문서


* 전체내용은 아래에서 확안하세요.

 

이번에 확인된 다운로드 URL은 다음과 같다.


Ÿ   hxxps://manage.albamon[.]info/download/20230201good001/%EC<생략>_%EC%9E%85%EC%82%AC%EC%A7%80%EC%9B%90%EC%84%9C.hwp.scr

Ÿ   hxxps://manage.albamon[.]live/23_05_15_05/%EC%<생략>_%EC%9E%85%EC%82%AC%EC%A7%80%EC%9B%90%EC%84%9C.hwp.scr

Ÿ   hxxps://manage.albamon[.]live/23_05_22_Fighting_ok/%EC<생략>_%EC%9E%85%EC%82%AC%EC%A7%80%EC%9B%90%EC%84%9C.hwp.scr 

 


[그림 1] 악성코드 다운로드 파일

 

[그림 1]의 URL을 통해 다운로드 되는 악성 파일은 [그림 2]처럼 화면보호기(.scr) 확장자 및 한글 문서(.hwp) 아이콘의 형태를 띄고 있다파일 실행 시 [그림3]과 같이 내부 RCDATA에 존재하는 압축 파일 데이터가 ‘%Public%\[6자리 랜덤 문자].zip’으로 저장된다.


[그림 2] **_입사지원서.hwp.scr 속성

 


[그림 3] RCDATA에 존재하는 데이터

 


[그림 4] 압축 파일

 

이후 %Public%\Documents\Defender\[6자리 랜덤 문자폴더에 위 파일을 압축 해제해 추가 파일을 생성한다. wechatweb.exe의 경우 파일명이 6자리의 무작위 문자로 생성되며생성된 파일은 [그림 5]와 같다.


[그림 5] 생성된 파일

 

파일명

기능

lim_b_n.hwp

정상 한글 파일

cmcs21.dll

yga.txt 디코딩 및 실행

wechatweb.exe ([6자리 랜덤 문자].exe)

cmcs21.dll 로드

yga.txt

인코딩된 악성 데이터

[표 1] 파일 별 기능

이후 %Public%\Music\[6자리 랜덤 문자폴더를 생성한 다음, InternetShortcut 파일을 만들어 앞서 생성한 정상 한글 파일과 wechatweb.exe([6자리 랜덤 문자].exe)가 실행되도록 한다해당 바로가기 파일은 실행 후 삭제된다.


[그림 6] 한글 문서 실행 바로가기 파일

 


[그림 7] Exe 파일 실행 바로가기 파일

 

 

[그림 6]의 바로가기 파일을 통해 실행된 한글 문서는 [그림 8]과 같이 입사지원서 양식의 정상 문서이다.


[그림 8] 정상 한글 문서


* 전체내용은 아래에서 확안하세요

https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=33598&utm_source=CM&utm_medium=eDM&utm_campaign=SL%5FtypeC&utm_content=972

공감/비공감

공감/비공감안내도움말 보기
유용하고 재미있는 정보인가요?
공감이 된다면 공감 버튼을, 그렇지 않다면 비공감 버튼을 눌러 주세요!
공감이나 비공감을 선택 하는 경우 다나와 포인트를 적립해 드립니다. ※ 공감 버튼의 총 선택 횟수는 전체 공개입니다. 비공감 버튼의 선택 여부는 선택한 본인만 알 수 있습니다.

plc-wave 님의 다른 글 보기

1/8
자유게시판 최신 글 전체 둘러보기
1/1
10월 1일도 가는군요 (1)
19레벨업이 됬군요 (4)
추석맟이 헌혈 (1)
아시안게임 한국메달 (1)
이제 정말 춥네요 (2)
구름 한점이 없었던 맑은 날씨의 10월의 첫날이 지나가고 있네요. (3)
아침저녁으로 쌀쌀하네요 (3)
집콕 하다가 오후에는.... (3)
[AG]야구 한국vs홍콩 7시30분,축구 한국vs중국 9시 경기가 있습니다 (7)
간만에 새벽 까지 실컷 놀았네요 ㅎㅎ (3)
오늘은 목욕탕 다녀왔네요. (3)
뒹굴뒹굴하다보니 정말 시간이 빨리 가네요 ㅎ (3)
10월의 첫날 날씨가 너무 좋네요. (4)
누워서 책보고 그림 그리는 도구 (3)
작은 소망 (1)
쿠팡 좋네요...! (4)
이제 가을이네요............. (2)
어떤 차가 주차장앞 쓰레기 상자를 치고 그냥 가버렸네요 (6)
오늘 국립중앙 박물관 앞에 차량이 많네요 (8)
찬물 끼얹기를 ^^ (1)
이 시간 HOT 댓글!
1/4