이메일로 윈도우 도움말 파일 ‘.chm’ 받았다면? 악성코드 감염 조심

https://m.boannews.com/html/detail.html?tab_type=1&idx=105855 

[긴급] 이메일로 윈도우 도움말 파일 ‘.chm’ 받았다면? 악성코드 감염 조심

 

powershell 이용해 c2 접속 후 파일 다운로드... audiodg.exe 실행

 

1. 유포된 이메일은 모두 ZIP로 압축된 파일이 첨부되어 있으며, 압축 파일 내부에는 docx 문서와 rar 압축파일이 담겨 있음
2. 파일 내부에 존재하는 docx 파일들은 모두 정상적인 파일들이며, rar 압축파일 내부에 악성 윈도우 도움말(chm)이 들어있음
3. chm 파일 내부에는 여러 파일들이 들어있고, 모든 chm 내부에 들어가 있는 html 파일의 코드를 확인하면 스크립트가 존재함
4. 해당 스크립트는 특정 id 속성 영역에 스크립트를 삽입한 후, Click() 함수를 통해 악성 명령어를 실행함
5. 악성 명령어가 실행되면 ‘%USERPROFILE%\Links\Document.dat, %USERPROFILE%\Links\Document.jse’ 파일을 생성 및 실행하며, 생성된 ‘%USERPROFILE%\Links\Document.jse’ 파일은 시스템이 재부팅 시에도 자동으로 실행되기 위해 레지스트리 자동 실행(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)에 등록됨
6. Document.jse 파일은 powershell을 이용해서 c2 접속 후 파일을 다운로드 후 audiodg.exe를 실행시킴

 

 

=> 출처가 불분명한 사용자에게서 수신한 이메일은 가급적 열어보지 말아야 함