[보안]의심 없이 첨부파일 클릭했다간 폼북 악성코드 감염!

M4 plc-wave 22.02.24. 15:55:46

415 12

* 출처는 안랩입니다.

최근 견적서로 위장해 유포되고 있는 폼북 악성코드에 감염에 주의하세요.

이번에 발견된 피싱 메일은 이전과 동일하게 견적서 요청 관련 내용을 담고 있으며, 첨부 파일명에 특정 회사의 이름이 포함되어 있다. 이를 통해 사용자가 첨부 파일을 실행하도록 유도한다.

[그림 1] 이메일 샘플1

[그림 2] 이메일 샘플2

그러나 이전과 다른 점이 있다면 그것은 바로 메일에 첨부된 압축 파일이 실행 파일이 아닌 VBS 파일 형태라는 점이다.

[그림 3] 첨부된 압축파일 내부

해당 악성 파일은 동일한 업체 명에 유포 날짜만 다르게 한 파일명으로 유포되고 있는 것으로 확인된다. 현재까지 확인된 파일명은 아래와 같다.

•한*산업개발(2022.02.03).pdf.vbs

•한*산업개발(2022.02.04).pdf.vbs

•한*산업개발(2022.02.07).pdf.vbs

•한*산업개발(2022-02-10).pdf.vbs

•한*산업개발(2022.02.16).pdf.vbs

•한*산업개발(2022.02.17).vbs

•한*산업개발(2022.02.21).vbs

한*산업개발(2022.02.21).vbs 에는 특정 값들이 난독화 되어 있다. 난독화 해제 시 런키 등록 및 특정 URL에 접속하는 기능을 수행하는 코드를 포함하고 있다.

따라서 VBS 파일 실행 시 hxxp://wisewomanwarrior[.]com/wp-admin/self2.jpg 에 접속해 해당 URL에 존재하는 추가 스크립트가 실행된다. 이후 HKCU\Software\Microsoft\Windows\CurrentVersion\Run\jtZsps 레지스트리에 C:\Users\[UserName]\Music\한*산업개발(2022.02.21).vbs 을 추가해 악성 스크립트가 지속적으로 실행될 수 있도록 한다.

* 전체내용은 아래에서 확인하세요.

https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=31403&utm_source=CM&utm_medium=eDM&utm_campaign=SL%5FtypeC&utm_content=907