* 출처는 안랩입니다.
*최근 매크로 시트를 이용한 악성 엑셀 파일 주의하셔서 피해 없으시길 바라며 올립니다.
* 아래는 기사 내용중 일부입니다.
ASEC은 매크로 시트(Excel 4.0 Macro)를 이용한 악성 엑셀 문서가 피싱 메일을 통해 국내에 다수 유포 중인 정황을 확인했다. 매크로 시트를 이용한 방식은 악성코드 유포자가 자주 사용하는 방식으로, SquirrelWaffle과 Qakbot을 비롯한 다양한 악성코드 유포에도 사용되었다. 최근에 유포되고 있는 악성 엑셀 문서에 대해 자세히 알아본다.
ASEC은 이전 블로그 게시물을 통해 매크로 시트를 이용한 악성 엑셀 문서가 피싱 메일을 통해 국내에 다수 유포 중임을 소개했다. 이후 유사한 공격 형태를 모니터링 하던 중, 유사한 형식의 파일이 다량 유포되는 정황을 확인했다.
[그림 1] 국내에 다수 유포되고 있는 악성 엑셀 매크로 파일대부분의 파일명은 "biz-106093825.xls", "recital-1105217019.xls", "miss-1360738092.xls" 와 같이 ‘짧은영단어-[0-9]{7,10}’ 의 형태를 띄는 것으로 확인되었다. ASEC에서 확보한 파일들 중 일부를 소개하면 다음과 같다.
■ biz-10682809.xls
■ biz-108566842.xls
■ recital-1105217019.xls
■ miss-1601179456.xls
■ proto-1643065415.xls
■ miss-1360738092.xls
■ record-1844987577.xls
■ record-16733321.xls
최초 엑셀 파일을 실행했을 때에는 다음과 같이 숨긴 시트가 확인되며, 숨겨진 시트들에는 흰색의 텍스트로 분산 은닉되어있는 데이터가 존재한다.
[그림 2] 숨김처리 되어있는 시트
* 전체내용은 아래주소에서 확인하세요.
https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=30923&utm_source=CM&utm_medium=eDM&utm_campaign=SL%5FtypeC&utm_content=893
공
자
![이벤트 당첨 발표 했네요. [역시나 꽝 없는 공유하기. 이번에는 라데온이다 우오오오]](https://img.danawa.com/images/attachFiles/6/843/5842521_18.png?fitting=Large|320:240&crop=320:240;*,*)
