* 출처는 안랩입니다.
안랩은 자사 이메일 허니팟 시스템을 통해 피싱 이메일을 통한 악성코드 유포 사례를 지속적으로 수집하고 있다. 최근에는 XwormRAT 악성코드가 스테가노그래피(Steganography) 기법을 활용해 유포되고 있는 정황이 포착됐다. 스테가노그래피는 이미지, 문서, 오디오 파일 등 정상적으로 보이는 파일 내부에 악성 스크립트를 숨겨 배포하는 방식으로, 사용자뿐만 아니라 보안 시스템조차 탐지하기 어려운 고도화된 기법이다.
아울러, XwormRAT은 변종 형태로 확산 중이며, VBScript 또는 JavaScript를 통해 실행된 후 정상 코드 내부에 악성 스크립트를 은밀히 삽입해 사용자가 쉽게 인지하지 못하도록 설계된 점이 특징이다. 이번 글에서는 XwormRAT의 유포 방식을 자세히 살펴본다.
최초 실행되는 VBScript 및 JavaScript는 내부에 포함된 파워셸(PowerShell) 스크립트를 추가 호출해 최종 악성코드를 다운로드 및 실행하는 구조를 갖는다.
[그림 1] 피싱 이메일 본문
[그림 2] 악성 스크립트 일부
* 전체내용은 아래에서 확인하세요.
![[모바일 출첵] 1500일 달성~!](https://img.danawa.com/images/attachFiles/6/848/5847443_18.png?fitting=Large|140:105&crop=140:105;*,*)
![진짜 가성비 QHD 고해상도 모니터! [프리미엄 리포터V]](https://img.danawa.com/images/attachFiles/6/847/5846666_1.jpeg?shrink=320:180)
![[하이마트] 최신 RTX5070 그래픽 탑재 HP OMEN 16 특별 할인! 쿠폰 및 카드할인 적용](https://img.danawa.com/images/attachFiles/6/847/5846172_18.jpg?fitting=Large|140:105&crop=140:105;*,*)
![[성수 팝업스토어 프로모션 특가] ASUS ROG STRIX XG27UCG](http://img.danawa.com/prod_img/500000/461/115/img/74115461_1.jpg?fitting=Large|140:105&crop=140:105;*,*)
