입사지원서로 위장한 악성코드 주의하세요!

M2 plc-wave 23.06.09. 11:26:17

302 12

* 출처는 안랩입니다.

안랩 ASEC 분석팀이 입사지원서로 위장한 악성코드가 유포 중인 정황을 확인했다.

이 악성코드는 안랩의 V3Lite.exe를 비롯해 다양한 백신 프로세스의 존재 여부를 확인하는 기능을 탑재했으며

국내 구인 및 구직 사이트와 유사한 악성 URL을 통해 유포되고 있다. 해당 악성코드가 유포되는 과정을 살펴보자.

이번에 확인된 다운로드 URL은 다음과 같다.

hxxps://manage.albamon[.]info/download/20230201good001/%EC<생략>_%EC%9E%85%EC%82%AC%EC%A7%80%EC%9B%90%EC%84%9C.hwp.scr

hxxps://manage.albamon[.]live/23_05_15_05/%EC%<생략>_%EC%9E%85%EC%82%AC%EC%A7%80%EC%9B%90%EC%84%9C.hwp.scr

hxxps://manage.albamon[.]live/23_05_22_Fighting_ok/%EC<생략>_%EC%9E%85%EC%82%AC%EC%A7%80%EC%9B%90%EC%84%9C.hwp.scr

[그림 1] 악성코드 다운로드 파일

[그림 1]의 URL을 통해 다운로드 되는 악성 파일은 [그림 2]처럼 화면보호기(.scr) 확장자 및 한글 문서(.hwp) 아이콘의 형태를 띄고 있다. 파일 실행 시 [그림3]과 같이 내부 RCDATA에 존재하는 압축 파일 데이터가 ‘%Public%\[6자리 랜덤 문자].zip’으로 저장된다.

[그림 2] 임**_입사지원서.hwp.scr 속성

[그림 3] RCDATA에 존재하는 데이터

[그림 4] 압축 파일

이후 %Public%\Documents\Defender\[6자리 랜덤 문자] 폴더에 위 파일을 압축 해제해 추가 파일을 생성한다. wechatweb.exe의 경우 파일명이 6자리의 무작위 문자로 생성되며, 생성된 파일은 [그림 5]와 같다.

[그림 5] 생성된 파일

파일명	기능
lim_b_n.hwp	정상 한글 파일
cmcs21.dll	yga.txt 디코딩 및 실행
wechatweb.exe ([6자리 랜덤 문자].exe)	cmcs21.dll 로드
yga.txt	인코딩된 악성 데이터

[표 1] 파일 별 기능

이후 %Public%\Music\[6자리 랜덤 문자 ] 폴더를 생성한 다음 , InternetShortcut 파일을 만들어 앞서 생성한 정상 한글 파일과 wechatweb.exe([6자리 랜덤 문자 ].exe)가 실행되도록 한다 . 해당 바로가기 파일은 실행 후 삭제된다 .

[ 그림 6] 한글 문서 실행 바로가기 파일

[그림 7] Exe 파일 실행 바로가기 파일

[그림 6]의 바로가기 파일을 통해 실행된 한글 문서는 [그림 8]과 같이 입사지원서 양식의 정상 문서이다.

[그림 8] 정상 한글 문서

* 전체내용은 아래에서 확안하세요.