□ 개요
최근 이메일에 첨부된 코로나 자료 예측자료가 악성코드로 확인되어 주의가 필요하다.
□ 분석 내용
해당 이메일은 수신자의 데이터를 이용하여, 예측자료를 만들어 회신하는 것으로 되어있다.
[그림 1] 해당 악성 이메일
첨부된 엑셀 파일을 열어보면, 전세계 및 각 대륙별 확진자와 사망자를 일별로 통계를 내어, 이를 이용하여 매크로를 통해 예측하는 모델로 작성 되어있다.
하지만 해당 매크로 외에 악의적인 행위를 위한 매크로가 추가로 포함되어있으며, 예측값을 보기위해 매크로를 허용할 경우 추가적인 악성 행위를 수행하게 된다.
[그림 2] 첨부되어있는 엑셀
[그림 3] 추가되어있는 악의적인 매크로 코드
악성 매크로가 동작하게 되면 특정 악성코드를 추가로 다운받아 실행하게끔 되어있으나, 현재 정상적으로 동작하고 있지 않다.
- hxxp://refeeldominicana[.]nwideas[.]com/wp-content/uploads/chimps/category[.]php
□ 결론
이번 악성코드의 경우 정상적인 매크로 코드를 포함하고 있어, 사용자가 매크로를 허용할 수 밖에 없는 악성코드이다.
매크로가 포함된 첨부파일을 수신하게 되었다면 다른 경로를 통해 메일을 보낸사람에게 추가 확인을 하는 등의 주의를 기울여야 한다.
□ 바이로봇 업데이트 내역
X97M.S.Agent