자산 관리 및 코인 거래소 사칭해 실행 파일 및 워드 문서 형식으로 유포

[이미지=gettyimagesbank]

▲코인 및 투자 관련 내용으로 위장한 악성코드의 실행 파일 아이콘[자료=안랩 ASEC 분석팀]

▲‘0728-위**월렛 자금 자동 인출’ 제목의 워드 파일[자료=안랩 ASEC 분석팀]

▲문서 파일의 본문 내용 및 매크로 실행 후 문서 파일의 본문 내용(좌부터)[자료=안랩 ASEC 분석팀]

ASEC 관계자는 “분석 당시 특정 URL에서 다운로드된 코드에는 특별한 악성 행위가 확인되지 않았지만, 공격자의 의도에 따라 다양한 악성 명령어가 실행될 수 있다. set.sl에 저장된 악성코드는 매크로 코드에서 User-Agent로 Chrome이 아닌 Chnome를 사용하는 것으로 보아 김수키 해킹그룹에서 제작한 것으로 추정된다. 또한, 실행 파일과 문서 파일 모두 파일명에 사용한 코인 거래소명과 접속하는 C2 주소가 같은 것으로 보아 실행 파일 역시 같은 공격그룹에서 제작한 것으로 보인다”고 말했다. 이어 “현재 C2에 접속되지 않아 최종으로 실행되는 스크립트는 알 수 없지만, 사용자 정보 유출 및 추가 악성코드 다운로드 등 다양한 악성 행위가 수행될 수 있어 사용자의 각별한 주의가 필요하다”고 덧붙였다. 

[김영명 기자(boan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=120825&page=1&mkind=1&kind=)]​