실행바카라 게임 사이트이 포함된 윈도우 도움말 바카라 게임 사이트(.chm)을 이용하여 유포중인 악성코드 주의!

​

ESRC에서는얼마전윈도우도움말바카라 게임 사이트(chm)을통해유포되는악성이메일에대해주의를당부한바있습니다.

▶

그리고, 최근 다른 형태의 .chm공격이 확인되어 사용자들의 주의가 필요합니다.

이번에 발견된 악성 .chm 바카라 게임 사이트은 메타콩즈 민팅의 내용을 위장하고 있습니다. 메타콩즈는 클레이튼기반의 3D NFT 프로젝트로 NFT투자에 관심이 많은 사람들의 주목을 끌고 있는 프로젝트이기도 합니다.

사용자가 .chm 바카라 게임 사이트 실행 시 다음과 같은 화면을 보여주어 사용자들에게 정상적인 바카라 게임 사이트처럼 보이도록 위장하였습니다.

하지만, 백그라운드에서는 내부에 포함된 .exe 바카라 게임 사이트을 실행합니다.

기존에대량으로유포된.chm바카라 게임 사이트활용공격의경우,chm내부에악성스크립트가포함되어있는html바카라 게임 사이트이존재하며특정id속성영역에해당악성스크립트를삽입한후Click()함수를통해해당스크립트를실행하였습니다.

하지만, 이번에 발견된 .chm바카라 게임 사이트은 내부에 .exe 바카라 게임 사이트을 포함하고 있어, 스크립트를 통해 직접 내부에 포함된 악성 .exe 바카라 게임 사이트을 실행합니다.

.chm바카라 게임 사이트을실행하면,내부에있는악성WINWORD.exe바카라 게임 사이트이실행되며추가로FeedsBroker.exe바카라 게임 사이트을실행합니다.

최종적으로 실행된 FeedsBroker.exe 바카라 게임 사이트은 c2에 연결되어 추가적인 악성행위를 시도하나, ESRC 분석 시점 c2에 연결이 되지 않아 추가 분석은 불가하였습니다.

C&C

hxxsp://dl.dropboxusercontent[.]com/s/52knwyv83qzyyqg/info.txt?dl=0
(naveicoiph[.]online)

다만, 최근 지속되고 있는 공격들의 경우를 보았을 때 사용자의 PC정보를 유출할 것으로 추정됩니다. 이렇게 유출된 정보들을 이용하여 추가적으로 더 정교한 공격이 가능한 만큼 사용자들의 각별한 주의가 요구됩니다.

최근, 사용자들이 관심을 가질만 한 주제를 악용한 악성 윈도우 도움말(chm) 바카라 게임 사이트의 유포가 지속적으로 발견되고 있습니다. 사용자 여러분들께서는 의심스러운 사용자에게서 발송된 이메일의 첨부바카라 게임 사이트 클릭을 지양해 주시고, 알약과 같은 백신을 사용하여 위협에 대비하시기를 권고드립니다.

현재 알약에서는 해당 악성바카라 게임 사이트에 대해Trojan.Dropper.CHM, Backdoor.Androm.gen, Trojan.Agent.36352A으로 탐지중이며, 추가적인 공격에 대비하여 지속적인 모니터링 중에 있습니다.