* 출처는 안랩입니다.
안랩이 금융 및 블록체인 기업 종사자를 노린 악성 LNK 파일을 발견했다. 이 LNK 파일은 이메일 첨부 파일 링크 등을 통해 유포 중인 것으로 추정되며, 정상 문서와 유사한 형태이다. 하지만 사실은 악성 스크립트를 실행하고, 추가 악성 파일을 다운로드한다. 해당 파일의 유포 과정을 자세히 알아보자.
안랩 인프라에서 확인된 악성 URL은 다음과 같다.
- 다운로드 URL
hxxps://file.lgclouds001[.]com/read/?ra=****.**@w*******ge.com&zw=블록체인%20기업%20솔루션%20편람%20제작.zip
hxxps://file.ssdrive001[.]com/read/?ra=*****.***@w*******ge.com&zw=블록체인%20기업%20솔루션%20편람%20제작.zip
공격자는 보안 솔루션 탐지와 분석을 우회하기 위해 위 URL에 악성 파일과 정상 파일을 번갈아 업로드했다. 해당 URL을 클릭하면 ‘블록체인 기업 솔루션 편람 제작.zip’ 압축 파일이 다운로드 된다.
[그림 1] 악성 파일 다운로드
[그림 2] 정상 파일 다운로드
악성 파일이 다운로드 될 경우, 압축 파일은 DOCX 파일 대신 악성 LNK 파일을 포함한다. 악성 LNK 파일 아이콘은 [그림 3]과 같다. LNK 파일의 특성상 파일명 뒤에 확장자가 붙지 않으며, 아이콘에 포함된 바로가기 화살표 이미지를 제외하면 일반 DOCX 문서 파일과 구별하기 힘들다.
[그림 3] LNK 파일의 외형
* 전체내용은 아래에서 확인하세요,.
포
일
