실행와이즈 토토이 포함된 윈도우 도움말 와이즈 토토(.chm)을 이용하여 유포중인 악성코드 주의!

​

ESRC에서는얼마전윈도우도움말와이즈 토토(chm)을통해유포되는악성이메일에대해주의를당부한바있습니다.

▶윈도우 도움말 와이즈 토토(chm)로 유포되는 악성 이메일 주의!!

그리고, 최근 다른 형태의 .chm공격이 확인되어 사용자들의 주의가 필요합니다.

이번에 발견된 악성 .chm 와이즈 토토은 메타콩즈 민팅의 내용을 위장하고 있습니다. 메타콩즈는 클레이튼기반의 3D NFT 프로젝트로 NFT투자에 관심이 많은 사람들의 주목을 끌고 있는 프로젝트이기도 합니다.

사용자가 .chm 와이즈 토토 실행 시 다음과 같은 화면을 보여주어 사용자들에게 정상적인 와이즈 토토처럼 보이도록 위장하였습니다.

하지만, 백그라운드에서는 내부에 포함된 .exe 와이즈 토토을 실행합니다.

기존에대량으로유포된.chm와이즈 토토활용공격의경우,chm내부에악성스크립트가포함되어있는html와이즈 토토이존재하며특정id속성영역에해당악성스크립트를삽입한후Click()함수를통해해당스크립트를실행하였습니다.

하지만, 이번에 발견된 .chm와이즈 토토은 내부에 .exe 와이즈 토토을 포함하고 있어, 스크립트를 통해 직접 내부에 포함된 악성 .exe 와이즈 토토을 실행합니다.

.chm와이즈 토토을실행하면,내부에있는악성WINWORD.exe와이즈 토토이실행되며추가로FeedsBroker.exe와이즈 토토을실행합니다.

최종적으로 실행된 FeedsBroker.exe 와이즈 토토은 c2에 연결되어 추가적인 악성행위를 시도하나, ESRC 분석 시점 c2에 연결이 되지 않아 추가 분석은 불가하였습니다.

C&C

hxxsp://dl.dropboxusercontent[.]com/s/52knwyv83qzyyqg/info.txt?dl=0
(naveicoiph[.]online)

다만, 최근 지속되고 있는 공격들의 경우를 보았을 때 사용자의 PC정보를 유출할 것으로 추정됩니다. 이렇게 유출된 정보들을 이용하여 추가적으로 더 정교한 공격이 가능한 만큼 사용자들의 각별한 주의가 요구됩니다.

최근, 사용자들이 관심을 가질만 한 주제를 악용한 악성 윈도우 도움말(chm) 와이즈 토토의 유포가 지속적으로 발견되고 있습니다. 사용자 여러분들께서는 의심스러운 사용자에게서 발송된 이메일의 첨부와이즈 토토 클릭을 지양해 주시고, 알약과 같은 백신을 사용하여 위협에 대비하시기를 권고드립니다.

현재 알약에서는 해당 악성와이즈 토토에 대해Trojan.Dropper.CHM, Backdoor.Androm.gen, Trojan.Agent.36352A으로 탐지중이며, 추가적인 공격에 대비하여 지속적인 모니터링 중에 있습니다.