Home > 전체기사

블랙프라이데이 시즌 노린 기업 타깃 악성 엑셀 문서 유포

  |  입력 : 2021-11-26 16:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
‘Black Friday Amazon coupon’이라는 제목으로 유포
이메일에 XLSB 파일 포맷의 엑셀문서 첨부...향후 유사 공격 빈번해질 듯


[보안뉴스 권 준 기자] 블랙프라이데이 시즌을 노린 악성 엑셀 문서가 기업을 대상으로 유포되고 있는 것으로 드러났다. 안랩 ASEC 분석팀에 따르면 25일 확인된 이메일은 국내 모 기업에서 발견됐는데, 이메일에 엑셀 문서를 첨부 파일로 포함하고 있는 것으로 알려졌다.

▲악성 엑셀문서가 첨부된 메일 화면[자료=안랩 ASEC 분석팀]


엑셀 문서는 XLSB 엑셀 바이너리 포맷의 Excel 4.0 Macro (XLM) 매크로시트를 포함한 파일로서, 실행 대상 시스템의 도메인 컨트롤러 여부를 확인해 추가 악성 기능을 실행하는 것으로 분석됐다.

첨부된 엑셀 문서는 파일명이 ‘promo details-[숫자].xlsb’ 형식이고 XLSB 파일 포맷인 것이 특징이다. XLSB은 엑셀 바이너리 파일 포맷으로서, 기존의 XLS 또는 XLSX 파일과는 다소 다른 파일 구조를 보인다. 이로 인해 안티바이러스 제품이 파일 특정 포인트를 진단하거나 분석가가 코드를 해석하는데 어려움이 있다는 게 ASEC 분석팀의 설명이다.

▲첨부된 악성 엑셀문서 클릭시 나타나는 화면[자료=안랩 ASEC 분석팀]


악성 메일에 첨부된 엑셀 문서를 실행하면 위와 같은 화면이 보인다. 매크로 실행을 허용하고 이미지를 클릭하면 악성 기능이 실행된다. 이미지를 클릭해야 악성 기능이 실행되는 것은 자동 분석 시스템 등을 회피하기 위한 것으로 보인다. 또한, 공격자는 파일 분석을 어렵게 하기 위해 엑셀 문서를 ‘보호’하는 조치를 취했다. 유효한 암호가 있어야 파일 내용 편집 및 숨겨진 매크로시트를 확인할 수 있기 때문에 악성코드 제작 방식이 이전보다 더 디테일해진 것으로 볼 수 있다는 설명이다.

안랩 ASEC 분석팀은 “이번에 확인된 이메일과 악성 엑셀 문서는 기업을 대상으로 유포와 공격을 시도하는 악성코드”라며, “블랙프라이데이 시즌뿐만 아니라 앞으로 XLSB 파일을 이용한 유사 공격 형태가 더 빈번하게 있을 것으로 예상된다”고 주의를 당부했다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)