분석 정보/악성코드 분석 정보

[악성코드 분석] 회계법인 송장 관련 피싱 메일 유포 주의

TACHYON & ISARC 2019. 10. 30. 17:08

회계법인 송장 관련 피싱 메일 유포 주의 

 

1. 개요

현재 송장 관련 내용으로 위장한 피싱 메일이 국내 기업 대상으로 유포되고 있어 주의가 필요하다. 이메일의 제목에는 국내 특정 기업을 사칭했으며 본문에는 악성 엑셀 파일을 다운받을 수 있는 링크가 포함되어있다. 

 

 

[그림 1] 피싱 메일



 

 

2. 분석 정보

2-1. 분석 정보

 

 




2-2. 실행 과정

악성 엑셀 문서를 실행하면 다음과 같이 매크로를 사용하도록 유도하는 내용이 적혀있다. 만약 사용자가 엑셀 본문의 내용을 보기 위해 콘텐츠 사용 버튼을 클릭하면 악성 매크로가 실행되며 [그림 3]과 같은 로딩 창이 생긴다.

 

[그림 2] 링크를 통해 다운로드 된 엑셀 문서



 

[그림 3] 악성 매크로가 실행된 엑셀 문서

 



 

3. 악성 동작

3-1. 악성 파일 드롭 및 로드

악성 매크로가 실행되면 아래와 같이 파일들을 생성한다. ‘libProject.xlsx’에 임베디드된 ‘oleObject1.bin’ 파일이 추출되고, ‘oleObject1.bin’ 내부에는 ‘libDzdiag1.dll’의 바이너리가 포함되어있다. 그리고 드롭된 ‘libDzdiag1.dll’은 실행된 ‘excel.exe’ 프로세스에 로드된다.
 

 

[그림 4] 생성된 악성 파일



 

[그림 5] libDzdiag1.dll 로드



 

 

 

3-2. 시스템 정보 수집

‘excel.exe’에 로드된 ‘libDzdiag1.dll’은 사용자 PC 명, 사용자 계정명, 운영체제 정보, 현재 실행 중인 프로세스 목록이 포함된 시스템 정보를 수집하고 공격자의 C&C 서버로 전송한다. 
 

[그림 6] 시스템 정보 수집



 

[그림7] C&C 서버 연결



 

[그림 8] 수집한 정보 전송



 

그리고 추가로 파일을 다운로드하고 실행 할 수 있는 기능이 존재한다.
 

[그림 9] 추가 파일 다운로드 및 실행




 

4. 결론

이번 피싱 메일은 국내를 대상으로 지속적으로 유포되고 있기 때문에 사용자의 주의가 필요하다. 현재 분석 시점에서는 C&C 서버와 연결이 이루어지지 않았지만 연결이 되었을 경우, 추가으로 악성 파일이 다운 및 실행될 수 있기 때문에 주의가 필요하다. 
위 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.
 

[그림 10] TACHYON Internet Security 5.0 진단 및 치료