기업 토토 가입 머니들을 대상으로 대량 유포중인 Vidar 악성코드 주의!
금일 오후부터 기업들을 대상으로 Vidar 토토 가입 머니가 첨부된 악성 이메일이 대량으로 유포되고 있어 각별한 주의가 필요합니다.
공격자는기업의이메일계정을대상으로대량으로악성메일을유포하였으며,여기에는외부에공개된회사공식이메일계정뿐만아니라개인회사이메일계정도포함되어있습니다.
[그림저작권법위법관하여연락드립니다]라는제목과함께다음내용으로발송되었습니다.
저희들은직영업무를대리받아개발회사를대리하여본내용증명을말하는바이며,
개발회사는수많은저작물을국내에배포를하고있으며본내용증명을통해정식적인게시를안내하고저작권침해를최소화하는말씀을드리고있습니다.
본인께서는저작권법침해로게시하고있습니다.
본회사는위반에따른금액을요구하는게아닙니다.
본회사는빠른조치를요청합니다.
이에아래와같은내용증명을고지합니다.
공격자는 '내용증명', '저작권법 침해' 등과 같은 법률용어를 토토 가입 머니하여 수신자의 불안감을 유발하고, 첨부파일 실행을 유도하고 있습니다.
만일토토 가입 머니가첨부파일을내용증명으로오인하여실행하면,공격자는원격템플릿인젝션기술(RemoteTemplateInjection)을사용하여특정URL에서악성매크로가포함된dotm파일을내려받습니다.
원격템플릿인젝션기술(RemoteTemplateInjection)은실제유포중인.docx파일내에는매크로가포함되어있지않기때문에쉽게보안제품을우회할수있기때문에공격자들이최근많이악용하는공격방법중하나입니다.
내려받은 dotm에는 다음과 같은 스크립트가 포함되어 있습니다.
이후 사용자가 [콘텐츠 사용] 버튼을 누르면 자동으로 다운로드 된 q8vu77.dotm 파일 내에포함되어 있던 VBA 매크로가 실행되며 공격자가 미리 설정해 놓은 hxxps://transfer[.]sh/get/wur9fF/에 접속하여 bulid.exe 파일을 내려받아 C:\User\Public\489456fd849h849gre.exe 파일명으로 저장 후 실행합니다.
실행 후에는 특정 텔레그램이나 스팀 프로필에 접속하여 C&C 주소를 받아와 해당 주소로 접속합니다.
다운로드 되는 압축파일 내에는 정보 유출에 필요한 정상 dll 파일들이 포함되어 있습니다.
C&C서버 접속과 동시에 크롬(Chrome), 엣지(Edge) 브라우저에 저장되어 있는 정보들을 수집하여 ProgramData 폴더로 복사 후, 토토 가입 머니 시스템 정보 수집을 시작합니다.
수집하는 브라우저 토토 가입 머니
쿠키(Cookies), 방문기록(History), 저장되어 있는 계정토토 가입 머니(Login Data), 웹데이터(Web Data)
수집하는 토토 가입 머니 시스템 정보
Date, MachineID, GUID, HWID, Path, Work Dir, Windows, Computer Name, User Name, Display Resolution, Display Language,Keyboard Languages, Local Time, TimeZone, 하드웨어 정보(Processor, CPU Count, RAM, VideoCard), 프로세스 목록, 설치된 소프트웨어 목록
이밖에도 WinSCP, FileZila 같은 FTP 프로그램의 토토 가입 머니, Tronium, Trust Wallet, bitwarden, Hashpack 같은 가상화폐 프로그램 관련 토토 가입 머니들도 함께 수집됩니다.
토토 가입 머니 수집이 완료되면 현재 동작중인 화면을 찍은 screenshot.jpg 파일과 함께 수집 토토 가입 머니와 시스템 토토 가입 머니를 취합한 파일들을 압축하여 116.202.6[.]206로 전송합니다.
피싱메일을 통해 악성코드가 지속적으로 유포되고 있는 만큼, 개인 및 기업 사용자 여러분들께서는 각별한 주의를 기울이시기 바랍니다.
현재 알약에서는 해당 토토 가입 머니에 대해Trojan.Downloader.DOC.Gen , Trojan.PSW.Vidar로 탐지중에 있습니다.
