* 출처는 안랩입니다.
안랩 ASEC 분석팀이 입사지원서로 위장한 악성코드가 유포 중인 정황을 확인했다.
이 악성코드는 안랩의 V3Lite.exe를 비롯해 다양한 백신 프로세스의 존재 여부를 확인하는 기능을 탑재했으며
국내 구인 및 구직 사이트와 유사한 악성 URL을 통해 유포되고 있다. 해당 악성코드가 유포되는 과정을 살펴보자.
이번에 확인된 다운로드 URL은 다음과 같다.
hxxps://manage.albamon[.]info/download/20230201good001/%EC<생략>_%EC%9E%85%EC%82%AC%EC%A7%80%EC%9B%90%EC%84%9C.hwp.scr
hxxps://manage.albamon[.]live/23_05_15_05/%EC%<생략>_%EC%9E%85%EC%82%AC%EC%A7%80%EC%9B%90%EC%84%9C.hwp.scr
hxxps://manage.albamon[.]live/23_05_22_Fighting_ok/%EC<생략>_%EC%9E%85%EC%82%AC%EC%A7%80%EC%9B%90%EC%84%9C.hwp.scr
[그림 1] 악성코드 다운로드 파일
[그림 1]의 URL을 통해 다운로드 되는 악성 파일은 [그림 2]처럼 화면보호기(.scr) 확장자 및 한글 문서(.hwp) 아이콘의 형태를 띄고 있다. 파일 실행 시 [그림3]과 같이 내부 RCDATA에 존재하는 압축 파일 데이터가 ‘%Public%\[6자리 랜덤 문자].zip’으로 저장된다.
[그림 2] 임**_입사지원서.hwp.scr 속성
[그림 3] RCDATA에 존재하는 데이터
[그림 4] 압축 파일
이후 %Public%\Documents\Defender\[6자리 랜덤 문자] 폴더에 위 파일을 압축 해제해 추가 파일을 생성한다. wechatweb.exe의 경우 파일명이 6자리의 무작위 문자로 생성되며, 생성된 파일은 [그림 5]와 같다.
[그림 5] 생성된 파일
파일명 |
기능 |
lim_b_n.hwp |
정상 한글 파일 |
cmcs21.dll |
yga.txt 디코딩 및 실행 |
wechatweb.exe ([6자리 랜덤 문자].exe) |
cmcs21.dll 로드 |
yga.txt |
인코딩된 악성 데이터 |

[ 그림 6] 한글 문서 실행 바로가기 파일
[그림 7] Exe 파일 실행 바로가기 파일
[그림 6]의 바로가기 파일을 통해 실행된 한글 문서는 [그림 8]과 같이 입사지원서 양식의 정상 문서이다.
[그림 8] 정상 한글 문서
* 전체내용은 아래에서 확안하세요.
이번에 확인된 다운로드 URL은 다음과 같다.
hxxps://manage.albamon[.]info/download/20230201good001/%EC<생략>_%EC%9E%85%EC%82%AC%EC%A7%80%EC%9B%90%EC%84%9C.hwp.scr
hxxps://manage.albamon[.]live/23_05_15_05/%EC%<생략>_%EC%9E%85%EC%82%AC%EC%A7%80%EC%9B%90%EC%84%9C.hwp.scr
hxxps://manage.albamon[.]live/23_05_22_Fighting_ok/%EC<생략>_%EC%9E%85%EC%82%AC%EC%A7%80%EC%9B%90%EC%84%9C.hwp.scr
[그림 1] 악성코드 다운로드 파일
[그림 1]의 URL을 통해 다운로드 되는 악성 파일은 [그림 2]처럼 화면보호기(.scr) 확장자 및 한글 문서(.hwp) 아이콘의 형태를 띄고 있다. 파일 실행 시 [그림3]과 같이 내부 RCDATA에 존재하는 압축 파일 데이터가 ‘%Public%\[6자리 랜덤 문자].zip’으로 저장된다.
[그림 2] 임**_입사지원서.hwp.scr 속성
[그림 3] RCDATA에 존재하는 데이터
[그림 4] 압축 파일
이후 %Public%\Documents\Defender\[6자리 랜덤 문자] 폴더에 위 파일을 압축 해제해 추가 파일을 생성한다. wechatweb.exe의 경우 파일명이 6자리의 무작위 문자로 생성되며, 생성된 파일은 [그림 5]와 같다.
[그림 5] 생성된 파일
파일명 |
기능 |
lim_b_n.hwp |
정상 한글 파일 |
cmcs21.dll |
yga.txt 디코딩 및 실행 |
wechatweb.exe ([6자리 랜덤 문자].exe) |
cmcs21.dll 로드 |
yga.txt |
인코딩된 악성 데이터 |

[ 그림 6] 한글 문서 실행 바로가기 파일
[그림 7] Exe 파일 실행 바로가기 파일
[그림 6]의 바로가기 파일을 통해 실행된 한글 문서는 [그림 8]과 같이 입사지원서 양식의 정상 문서이다.
[그림 8] 정상 한글 문서
* 전체내용은 아래에서 확안하세요