본문 바로가기


뉴스,지식창고/뉴스,이슈

[AhnLab 보안이슈]코인업체 사칭한 악성 문서 주의!

코인업체 사칭한 악성 문서 주의!

  • AhnLab
  • 2020-07-15

안랩은 최근 ASEC 블로그를 통해 코인업체를 사칭한 악성 한글 문서 파일이 유포되는 것을 확인해 사용자의 주의를 당부했다. 

 


 

한글 파일에는 특정 코인업체의 운영 정책이 변경되어 해당 사항을 확인하도록 유인하는 내용이 담겨 있다. 특히 파일명이 hanwordupdate.exe로 되어 있어 사용자가 한글 정상 파일로 착각할 수 있으므로 주의해야 한다. 

 


[그림] 코인업체 사칭한 악성 한글문서 내용

 

한글 파일 내부에는 개체를 실행하기 위해 링크가 포함된 도형이 존재하며, 특정 도형들은 페이지 전부를 덮고 있어 사용자가 어느 곳을 선택하여도 악성 파일의 링크를 실행하게 된다.  

 

이 한글 문서에는 파워쉘 스크립트가 포함되어 있어 실행 시 파워쉘을 통해 악성 행위를 수행한다. 이번 공격은 사용자 PC에서 명령어를 실행 후 결과 전송, 추가 악성 파일 다운로드, 서버로 파일 전송 등을 수행하는 전형적인 APT 형태의 악성코드로 추정된다.

 

최근 다양한 악성 한글 문서가 유포되어 출처가 불분명한 문서에 대해 사용자의 주의가 필요하다. 사용자는 의심스러운 파일을 전달 받게 되면 파일의 작성자를 확인하고, 신뢰할 수 없는 파일에 대해서는 실행을 지양해야 한다. 

 

 현재 안랩 제품군에서는 관련 파일 및 URL 에 대하여 아래의 진단명으로 탐지 및 차단하고 있다.

- Exploit/HWP.Generic (2020.07.11.08)

- Trojan/Win32.Agent (2020.07.11.08)

 

해당 악성코드에 대한 자세한 분석 정보는 ASEC 블로그에서 확인할 수 있다. 

▶ ASEC 블로그 바로 가기 

 

 

  • AhnLab 로고
  • ASEC 분석팀

이 정보에 대한 저작권은 AhnLab에 있으며 무단 사용 및 도용을 금합니다.

단, 개인이 비상업적인 목적으로 일부 내용을 사용하는 것은 허용하고 있으나, 이 경우 반드시 출처가 AhnLab임을 밝혀야 합니다.
기업이 이 정보를 사용할 때에는 반드시 AhnLab 의 허가를 받아야 하며, 허가 없이 정보를 이용할 경우 저작권 침해로 간주되어 법적인 제재를 받을 수 있습니다. 자세한 내용은 컨텐츠 이용약관을 참고하시기 바랍니다.

정보 이용 문의 : contents@ahnlab.com