□ 개요
최근 ‘코로나19’ 바이러스에 대한 이슈가 증가함에 따라 이를 위장한 악성코드가 지속적으로 등장하고 있어 사용자의 각별한 주의를 요구한다.
□ 내용
해당 메일에서는 “코로나 바이러스 관련 이사장님 지시사항” 이라는 제목으로 유포되어 소장님들께 전달하는 내용으로 문서 파일을 첨부하고 있으며 실행할 경우 내부에 포함된 매크로 코드가 동작하게 된다.
[그림 1] 특정기관을 타켓으로한 스피어피싱 메일
[그림 2] 악성 매크로가 삽입 된 문서 파일
[그림 3] 첨부된 문서 내용 일부
[그림 4] 문서 내부에 포함된 매크로 일부
내부에 포함된 매크로 코드에 의해 추가적인 스크립트 파일을 받아와 파워쉘로 동작시키며 사용자의 키보드 정보를 수집하는 등의 악성행위를 수행한다.
[그림 5] 다운로드 받은 스크립트 일부
[그림 6] 키로거 스크립트 일부
□ 바이로봇 업데이트 내역
W97M.Downloader