본문 바로가기
Security/News

입사지원서를 위장한 악성코드 유포 중 - ASEC BLOG

by 올엠 2023. 6. 5.
반응형

Impotant:
0ddcb876007aee40f0c819ae2381d1b1
https://manage.albamon.info
ccf3fcd6323bcdd09630e69d6ee74197
http://ggt-send-6187.orange-app.vip:6187
15a0e9cd449bce9e37bb1f8693b3c4e0
https://manage.albamon.live/23_05_22_Fighting_ok/%EC<
https://manage.albamon.info/download/20230201good001/%EC<
498eda85200257a813dc6731d3324eb6
https://manage.albamon.live/23_05_15_05/%EC%<

요약:
AhnLab Security Emergency response Center(ASEC)에서는 입사지원서를 위장한 악성 코드가 꾸준히 유포되고 있음을 확인하였다. 자사 제품명의 프로세스(V3Lite.exe)를 비롯해 다양한 백신 프로세스의 존재 여부를 확인하는 기능과 국내 구인구직 사이트와 유사한 악성 URL을 통해 유포되고 있음을 확인하였다. 다운로드 되는 악성 파일은 화면보호기 확장자와 한글 문서 아이콘을 지니고 있고 실행 시 내부 RCDATA에 존재하는 압축 파일 데이터가 %Public%\[6자리 랜덤 문자].zip으로 저장된다. AhnLab Security Emergency response Center(ASEC)에서는 입사지원서를 위장한 악성 코드가 꾸준히 유포되고 있음을 확인하였다. 자사 제품명의 프로세스(V3Lite.exe)를 비롯해 다양한 백신 프로세스의 존재 여부를 확인하는 기능과 국내 구인구직 사이트와 유사한 악성 URL을 통해 유포되고 있고, 다운로드 되는 악성 파일은 화면보호기 확장자와 한글 문서 아이콘을 지니고 있으며 실행 시 내부 RCDATA에 존재하는 압축 파일 데이터가 %Public%\[6자리 랜덤 문자].zip으로 저장됨을 확인하였다.

내용:
AhnLab Security Emergency response Center(ASEC)에서는 입사지원서를 위장한 악성 코드가 꾸준히 유포되고 있음을 확인하였다. 해당 악성코드에는 자사 제품명의 프로세스(V3Lite.exe)를 비롯해 다양한 백신 프로세스의 존재 여부를 확인하는 기능이 존재하며 국내 구인구직 사이트와 유사한 악성 URL을 통해 유포되고 있다. 확인된 다운로드 URL은 다음과 같다. hxxps://manage.albamon[.]info/download/20230201good001/%EC<생략>_%EC%9E%85%EC%82%AC%EC%A7%80%EC%9B%90%EC%84%9C.hwp.scr
hxxps://manage.albamon[.]live/23_05_15_05/%EC%<생략>_%EC%9E%85%EC%82%AC%EC%A7%80%EC%9B%90%EC%84%9C.hwp.scr
hxxps://manage.albamon[.]live/23_05_22_Fighting_ok/%EC<생략>_%EC%9E%85%EC%82%AC%EC%A7%80%EC%9B%90%EC%84%9C.hwp.scr
그림 1. 다운로드 파일
위 URL을 통해 다운로드 되는 악성 파일은 화면보호기(.scr) 확장자 및 한글 문서(.hwp) 아이콘을 지니고 있다. 파일 실행 시 [그림3]과 같이 내부 RCDATA에 존재하는 압축 파일 데이터가 %Public%\[6자리 랜덤 문자].zip 으로 저장된다. 그림 2. 임**_입사지원서.hwp.scr 속성 그림 3. RCDATA에 존재하는 데이터 그림 4. 압축파일
이후 %Public%\Documents\Defender\[6자리 랜덤 문자] 폴더에 위 파일을 압축 해제하여 추가 파일을 생성한다. wechatweb.exe의 경우 파일명이 랜덤한 6자리 문자로 생성되며 생성된 파일은 다음과 같다. 그림 5. 생성된 파일
파일명 기능 lim_b_n.hwp 정상 한글 파일 cmcs21.dll yga.txt 디코딩 및 실행 wec.....

Open New Windows

입사지원서를 위장한 악성코드 유포 중 - ASEC BLOG:
https://asec.ahnlab.com/ko/53562/

반응형

'Security > News' 카테고리의 다른 글

한컴 오피스 문서파일로 위장하여 유포중인 악성코드 증적 추적(RedEyes) - ASEC BLOG  (0) 2023.06.05
초보자를 위한 맬웨어 리버스 엔지니어링 - 2 부  (0) 2023.06.05
BlackCat 랜섬웨어 공격에 사용되는 악의적 인 Windows 커널 드라이버  (0) 2023.06.05
탐지를 우회하기 위해 컴파일 된 파이썬 코드를 사용한 악성 PYPI 패키지  (0) 2023.06.05
레드 라인 스틸러를 제공하는 데 사용되는 악성 AI 도구 광고  (0) 2023.06.05

관련글

티스토리툴바