코로나 관련 안내문 사칭 악성 메일이 유포중이라는 내용의 포스팅을 하겠습니다. 이번에 발견된 악성 메일은 코로나 관련 안내문을 사칭한 형태로 국내 사용자를 대상으로 유포되고 있습니다. 코로나 확진자가 많이 발생하는 시기를 노려 내용을 포함해 유포하는 것으로 보고 있습니다. 악성 메일의 첨부 파일명은 ‘확진자 및 동거인 안내문 (50).chm’입니다.
위에서 언급한 악성메일에 첨부한 첨부파일을 클릭하면 위의 창이 뜹니다. 안내문에 포함된 url을 클릭하면 정식 사이트로 연결되어 속기 쉽습니다.
악성 chm 파일에 포함된 html 파일의 코드를 보면 악성 스크립트가 포함되어 있습니다. 해당 스크립트는 특정 id 속성 영역에 스크립트를 삽인한 후 Click() 함수를 통해 악성 명령어를 실행하는 기능을 수행합니다.
악성 명령어가 실행하면 hh.exe 프로세스를 통해 chm 파일을 디컴파일해 ‘c:\\programdata\\chmtemp’ 폴더에 생성합니다. hh.exe 프로세스는 html 도움말 실행 프로그램으로 컴파일된 도움말(*.chm) 파일을 실행하거나 도움말 파일에 대한 탐색 및 기타 기능을 제공합니다. 디컴파일된 파일 중 chmext.exe 파일을 실행합니다.
드롭되어 실행하는 IntelRST.exe 파일은 프로세스 검사, RUN 키 등록, UAC Bypass, 윈도우 디펜더 예외 설정 기능을 가지고 있습니다. 이후 hxxps://dl.dropboxusercontent[.]com/s/k288s9tu2o53v41/zs_url.txt?dl=0 에 접속을 시도합니다. 현재는 접속이 안되고 있습니다. 해당 URL에서 악성 행위를 수행하기 위한 추가 URL을 받아오는 것으로 추정합니다.
최근 국내 사용자를 대상으로 하는 악성 윈도우 도움말 파일(*.chm) 파일이 다수 확인되고 있어 사용자의 주의가 필요합니다. 또한 출처가 불분명한 파일의 경우 실행을 하지 마셔야 하십니다.
이상 코로나 관련 안내문 사칭 악성 메일이 유포되고 있다는 내용의 포스팅을 하였습니다. 범죄자는 피해자가 어떤 상황이라 해도 돈뜯으려고 혈안이 되어 있는 사람이지요. 이점 인지 하시고 나에게 오는 파일은 모두 백신으로 검사 한 후 실행하는 습관을 들이시기 바랍니다. 행복하세요!!