실행라이브 바카라이 포함된 윈도우 도움말 라이브 바카라(.chm)을 이용하여 유포중인 악성코드 주의!
ESRC에서는얼마전윈도우도움말라이브 바카라(chm)을통해유포되는악성이메일에대해주의를당부한바있습니다.
▶윈도우 도움말 라이브 바카라(chm)로 유포되는 악성 이메일 주의!!
그리고, 최근 다른 형태의 .chm공격이 확인되어 사용자들의 주의가 필요합니다.
이번에 발견된 악성 .chm 라이브 바카라은 메타콩즈 민팅의 내용을 위장하고 있습니다. 메타콩즈는 클레이튼기반의 3D NFT 프로젝트로 NFT투자에 관심이 많은 사람들의 주목을 끌고 있는 프로젝트이기도 합니다.
사용자가 .chm 라이브 바카라 실행 시 다음과 같은 화면을 보여주어 사용자들에게 정상적인 라이브 바카라처럼 보이도록 위장하였습니다.
하지만, 백그라운드에서는 내부에 포함된 .exe 라이브 바카라을 실행합니다.
기존에대량으로유포된.chm라이브 바카라활용공격의경우,chm내부에악성스크립트가포함되어있는html라이브 바카라이존재하며특정id속성영역에해당악성스크립트를삽입한후Click()함수를통해해당스크립트를실행하였습니다.
하지만, 이번에 발견된 .chm라이브 바카라은 내부에 .exe 라이브 바카라을 포함하고 있어, 스크립트를 통해 직접 내부에 포함된 악성 .exe 라이브 바카라을 실행합니다.
.chm라이브 바카라을실행하면,내부에있는악성WINWORD.exe라이브 바카라이실행되며추가로FeedsBroker.exe라이브 바카라을실행합니다.
최종적으로 실행된 FeedsBroker.exe 라이브 바카라은 c2에 연결되어 추가적인 악성행위를 시도하나, ESRC 분석 시점 c2에 연결이 되지 않아 추가 분석은 불가하였습니다.
C&C
hxxsp://dl.dropboxusercontent[.]com/s/52knwyv83qzyyqg/info.txt?dl=0
(naveicoiph[.]online)
다만, 최근 지속되고 있는 공격들의 경우를 보았을 때 사용자의 PC정보를 유출할 것으로 추정됩니다. 이렇게 유출된 정보들을 이용하여 추가적으로 더 정교한 공격이 가능한 만큼 사용자들의 각별한 주의가 요구됩니다.
최근, 사용자들이 관심을 가질만 한 주제를 악용한 악성 윈도우 도움말(chm) 라이브 바카라의 유포가 지속적으로 발견되고 있습니다. 사용자 여러분들께서는 의심스러운 사용자에게서 발송된 이메일의 첨부라이브 바카라 클릭을 지양해 주시고, 알약과 같은 백신을 사용하여 위협에 대비하시기를 권고드립니다.
현재 알약에서는 해당 악성라이브 바카라에 대해Trojan.Dropper.CHM, Backdoor.Androm.gen, Trojan.Agent.36352A으로 탐지중이며, 추가적인 공격에 대비하여 지속적인 모니터링 중에 있습니다.
