□ 개요

최근 국내에 인터넷주소 정책결정에 대한 국민 의견수렴의 내용으로 위장한 악성메일이 유포되고 있어 국내 사용자들의 각별한 주의가 필요하다.

□ 내용​

해당 메일에는 정책결정 의견수렴에 관한 내용으로 첨부파일 실행을 유도하고 있다.

[그림 1] 정책결정 의견수렴 요청으로 위장한 악성메일​

첨부된 문서는 암호가 걸려​있으며 메일에 포함된 비밀번호를 입력하면 열린다.

​

​[그림 3] 암호가 걸린 문서

​

문서에는 매크로 실행을 위한 콘텐츠 사용 클릭을 유도하는 내용이 적혀있으며 콘텐츠 사용 클릭 시 내장된 악성 매크로 코드가 실행된다. ​

​

[그림 4] 악성 메크로 실행을 위한 콘텐츠 사용 클릭 유도

​

​문서에 내장된 악성 매크로 코드는 실행 시 C&C 서버에 접속 해 인코딩된 악성 PE 데이터를 다운받아 디코딩 후 실행한다. 현재는 해당 서버와 연결되지 않는다.

          - C&C : http://1xJOiKZd[.]naveicoipa[.]tech/ACMS/Cjtpp17D/Cjtpp17D32.acm

[그림 5] C&C 서버로부터 악성 데이터를 받아옴

[그림 6] 디코딩 된 PE 데이터를 문서 메모리에서 실행​

서버에 정상적으로 접속될 경우 추가적인 악성 행위를 수행한다. ​

□ 바이로봇 업데이트 내역

W97M.S.Agent​