‘Black Friday Amazon coupon’이라는 제목으로 유포

이메일에 XLSB 파일 포맷의 엑셀문서 첨부...향후 유사 공격 빈번해질 듯

[보안뉴스 권 준 기자] 블랙프라이데이 시즌을 노린 악성 엑셀 문서가 기업을 대상으로 유포되고 있는 것으로 드러났다. 안랩 ASEC 분석팀에 따르면 25일 확인된 이메일은 국내 모 기업에서 발견됐는데, 이메일에 엑셀 문서를 첨부 파일로 포함하고 있는 것으로 알려졌다.

​

▲악성 엑셀문서가 첨부된 메일 화면[자료=안랩 ASEC 분석팀]

엑셀 문서는 XLSB 엑셀 바이너리 포맷의 Excel 4.0 Macro (XLM) 매크로시트를 포함한 파일로서, 실행 대상 시스템의 도메인 컨트롤러 여부를 확인해 추가 악성 기능을 실행하는 것으로 분석됐다.

첨부된 엑셀 문서는 파일명이 ‘promo details-[숫자].xlsb’ 형식이고 XLSB 파일 포맷인 것이 특징이다. XLSB은 엑셀 바이너리 파일 포맷으로서, 기존의 XLS 또는 XLSX 파일과는 다소 다른 파일 구조를 보인다. 이로 인해 안티바이러스 제품이 파일 특정 포인트를 진단하거나 분석가가 코드를 해석하는데 어려움이 있다는 게 ASEC 분석팀의 설명이다.

​

▲첨부된 악성 엑셀문서 클릭시 나타나는 화면[자료=안랩 ASEC 분석팀]

악성 메일에 첨부된 엑셀 문서를 실행하면 위와 같은 화면이 보인다. 매크로 실행을 허용하고 이미지를 클릭하면 악성 기능이 실행된다. 이미지를 클릭해야 악성 기능이 실행되는 것은 자동 분석 시스템 등을 회피하기 위한 것으로 보인다. 또한, 공격자는 파일 분석을 어렵게 하기 위해 엑셀 문서를 ‘보호’하는 조치를 취했다. 유효한 암호가 있어야 파일 내용 편집 및 숨겨진 매크로시트를 확인할 수 있기 때문에 악성코드 제작 방식이 이전보다 더 디테일해진 것으로 볼 수 있다는 설명이다.

안랩 ASEC 분석팀은 “이번에 확인된 이메일과 악성 엑셀 문서는 기업을 대상으로 유포와 공격을 시도하는 악성코드”라며, “블랙프라이데이 시즌뿐만 아니라 앞으로 XLSB 파일을 이용한 유사 공격 형태가 더 빈번하게 있을 것으로 예상된다”고 주의를 당부했다.

[권 준 기자(editor@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=102821&page=1&mkind=1&kind=1)]​