메일에 첨부된 엑셀 파일 안에 특정 이미지 클릭시 매크로 실행되면서 악성 행위 수행
안랩 ASEC 분석팀, “파일에 포함된 악성 매크로가 자동 실행되지 않도록 주의해야”
[보안뉴스 권 준 기자] 인보이스(Invoice), 이력서, 발주서 등으로 위장한 기업 타깃 악성 메일이 올해 가장 심각한 보안 위협의 하나로 지목되고 있는 가운데 최근 인보이스를 사칭한 악성 엑셀 문서가 메일로 유포된 것으로 드러났다.
▲최근 국내에 유포된 인보이스 위장 악성 메일 화면[자료=안랩 ASEC 분석팀]
안랩 ASEC 분석팀에 따르면 최근 Invoice로 위장한 악성 엑셀 문서가 발견됐는데, 해당 엑셀 파일은 Invoice-[숫자]_날짜.xlsb 파일명으로 메일에 첨부되어 유포되고 있다. 메일에 첨부된 엑셀 파일 실행 시 편집 사용이 제한되어 있으며, 특정 이미지가 포함되어 있어 사용자의 클릭을 유도하는 것으로 분석됐다.
또한, 해당 이미지에는 매크로가 지정되어 있는데, 사용자가 이미지를 클릭해야만 매크로가 실행되어 악성 행위를 수행하는 것으로 분석됐다. Macro1 시트는 숨겨진 시트로 존재하며, 해당 시트는 다수의 수식이 여러 셀에 나누어져 있다. 사용자가 이미지 클릭 시 경고창이 생성되는데, 사용자가 확인이나 닫기 버튼을 클릭해야만 악성 행위가 수행된다는 게 안랩 ASEC 분석팀의 설명이다.
▲메일에 첨부된 엑셀 파일 화면[자료=안랩 ASEC 분석팀]
사용자가 확인이나 닫기 버튼을 클릭한 이후 실행되는 매크로는 \%APPDATA%\Microsoft\Excel\XLSTART 폴더에 excel.rtf에 파일을 생성하고 wmic process call create ‘mshta \%APPDATA%\Microsoft\Excel\XLSTART\excel.rtf’ 명령어로 해당 파일을 실행하게 된다. excel.rtf 파일은 html 파일로 내부에는 다수의 주석을 삽입하는 등 사용자가 알아보기 어려운 형태로 된 악성 VBScript가 존재하는 것으로 드러났다.
해당 스크립트에는 %LOGONSERVER%과 %USERDOMAIN%의 변수값을 체크하는 코드가 존재한다. 일반 사용자의 경우 해당 값이 동일해 다운로드가 이루어지지 않기 때문에 AD 환경 사용자를 타깃으로 한 악성코드로 추정된다는 게 ASEC 분석팀의 설명이다. 결국 기업을 타깃으로 한 악성코드라는 얘기다.
안랩 ASEC 분석팀은 “VBA 매크로를 포함하는 엑셀 파일 뿐만 아니라 이번처럼 수식 매크로를 사용하는 엑셀 파일도 꾸준히 확인되고 있다”며, “항상 강조한 것처럼 알 수 없는 사용자로부터 수신한 메일의 첨부파일은 실행을 자제해야 하고, 파일에 포함된 악성 매크로가 자동으로 실행되지 않도록 주의해야 한다”고 당부했다.
[권 준 기자(editor@boannews.com)]
안랩 ASEC 분석팀, “파일에 포함된 악성 매크로가 자동 실행되지 않도록 주의해야”
[보안뉴스 권 준 기자] 인보이스(Invoice), 이력서, 발주서 등으로 위장한 기업 타깃 악성 메일이 올해 가장 심각한 보안 위협의 하나로 지목되고 있는 가운데 최근 인보이스를 사칭한 악성 엑셀 문서가 메일로 유포된 것으로 드러났다.
▲최근 국내에 유포된 인보이스 위장 악성 메일 화면[자료=안랩 ASEC 분석팀]
안랩 ASEC 분석팀에 따르면 최근 Invoice로 위장한 악성 엑셀 문서가 발견됐는데, 해당 엑셀 파일은 Invoice-[숫자]_날짜.xlsb 파일명으로 메일에 첨부되어 유포되고 있다. 메일에 첨부된 엑셀 파일 실행 시 편집 사용이 제한되어 있으며, 특정 이미지가 포함되어 있어 사용자의 클릭을 유도하는 것으로 분석됐다.
또한, 해당 이미지에는 매크로가 지정되어 있는데, 사용자가 이미지를 클릭해야만 매크로가 실행되어 악성 행위를 수행하는 것으로 분석됐다. Macro1 시트는 숨겨진 시트로 존재하며, 해당 시트는 다수의 수식이 여러 셀에 나누어져 있다. 사용자가 이미지 클릭 시 경고창이 생성되는데, 사용자가 확인이나 닫기 버튼을 클릭해야만 악성 행위가 수행된다는 게 안랩 ASEC 분석팀의 설명이다.
▲메일에 첨부된 엑셀 파일 화면[자료=안랩 ASEC 분석팀]
사용자가 확인이나 닫기 버튼을 클릭한 이후 실행되는 매크로는 \%APPDATA%\Microsoft\Excel\XLSTART 폴더에 excel.rtf에 파일을 생성하고 wmic process call create ‘mshta \%APPDATA%\Microsoft\Excel\XLSTART\excel.rtf’ 명령어로 해당 파일을 실행하게 된다. excel.rtf 파일은 html 파일로 내부에는 다수의 주석을 삽입하는 등 사용자가 알아보기 어려운 형태로 된 악성 VBScript가 존재하는 것으로 드러났다.
해당 스크립트에는 %LOGONSERVER%과 %USERDOMAIN%의 변수값을 체크하는 코드가 존재한다. 일반 사용자의 경우 해당 값이 동일해 다운로드가 이루어지지 않기 때문에 AD 환경 사용자를 타깃으로 한 악성코드로 추정된다는 게 ASEC 분석팀의 설명이다. 결국 기업을 타깃으로 한 악성코드라는 얘기다.
안랩 ASEC 분석팀은 “VBA 매크로를 포함하는 엑셀 파일 뿐만 아니라 이번처럼 수식 매크로를 사용하는 엑셀 파일도 꾸준히 확인되고 있다”며, “항상 강조한 것처럼 알 수 없는 사용자로부터 수신한 메일의 첨부파일은 실행을 자제해야 하고, 파일에 포함된 악성 매크로가 자동으로 실행되지 않도록 주의해야 한다”고 당부했다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
