최신 보안 동향

PDF 파일을 통해 유포되는 Snake Keylogger 악성코드

2022. 6. 3. 16:57

최근, PDF 파일을 통해 유포되는 "Snake Keylogger"악성코드 캠페인이 발표됐다.

 

HP사의 보안 연구원에 따르면 이 악성코드는 내부에 악성 docx 파일을 숨기고 있는 PDF 파일을 통해 유포된다고 알려졌다.

PDF 파일을 Adobe Reader로 실행할 경우 내부에 포함된 악성 docx 파일 실행을 요청하는 메시지 박스를 띄우는데, 해당 악성 파일의 이름에 "has been verified"라는 문장이 포함되어 있어 사용자들로 하여금 의심을 피하고 실행을 유도한다.

 

또한, docx 파일 안의 매크로는 CVE-2017-11882 취약점을 이용하는 악성 .rtf 파일을 다운로드해 "Snake Keylogger"를 설치하고 악성 동작을 수행한다.

 

[PDF  파일에 포함된 악성 docx 파일 실행을 요청하는 메시지 박스]

사진출처 : HP Threat Research Blog

 

 

 

출처

[1] HP Threat Research Blog (2022.05.20) – PDF Malware Is Not Yet Dead

https://threatresearch.ext.hp.com/pdf-malware-is-not-yet-dead/