□ 개요국가 자문 기관을 사칭하여 주요 기관의 특정인을 대상으로 악성 메일이 발송된 정황이 포착되어 주의가 요구된다.
□ 내용
- 악성 메일은 ‘[OOOO] 논문심사 의뢰드립니다.’ 라는 제목으로 발송 되었으며, 메일 내용 또한 논문 심사 의뢰 내용으로 전혀 어색한 부분 없이 자연스럽게 기재되어 있어 수신자가 의심 없이 악성 메일을 열람하고 악성 코드를 실행할 수 있다. 또한 첨부된 악성 파일을 열어 악성 코드에 감염되더라도 PC에 특별한 증상이 노출되지 않기 때문에 감염 사실을 PC 사용자가 인지하기에는 쉽지 않다.
[그림 1] 악성 메일
- 악성 메일에 첨부된 ‘논문.zip’ 압축 파일 내에는 [그림 2]과 같은 파일이 압축되어 있다. 심사의뢰서는 정상파일로 사용자를 속이기위한 파일이다. 실제 악성 코드는 윈도우 도움말 파일인 ‘2023-3-2.chm’ 이며, 이 파일을 실행하면 악성행위가 동작한다.
[그림 2] 논문.zip 압축 해제 리스트
[그림 3] 윈도우 도움말을 이용한 피싱 공격
- powershell 명령어를 통해 실행되며, ‘X Click’ 함수를 통해 스크립트가 자동 실행되고, 악성 URL로부터 악성 코드인 temp.vbs 파일이 다운로드하여 실행된다.
-> 경로 : C:userspublicdownloadstemp.vbs
[그림 4] 파워쉘 스크립트
□ 바이로봇 업데이트 내역
- EML.S.Phishing
- CHM.S.Downloader
