Home > 전체기사

Invoice로 위장한 엑셀 파일 열어봤더니... 기업 타깃 악성 메일 유포

  |  입력 : 2021-10-24 22:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
메일에 첨부된 엑셀 파일 안에 특정 이미지 클릭시 매크로 실행되면서 악성 행위 수행
안랩 ASEC 분석팀, “파일에 포함된 악성 매크로가 자동 실행되지 않도록 주의해야”


[보안뉴스 권 준 기자] 인보이스(Invoice), 이력서, 발주서 등으로 위장한 기업 타깃 악성 메일이 올해 가장 심각한 보안 위협의 하나로 지목되고 있는 가운데 최근 인보이스를 사칭한 악성 엑셀 문서가 메일로 유포된 것으로 드러났다.

▲최근 국내에 유포된 인보이스 위장 악성 메일 화면[자료=안랩 ASEC 분석팀]


안랩 ASEC 분석팀에 따르면 최근 Invoice로 위장한 악성 엑셀 문서가 발견됐는데, 해당 엑셀 파일은 Invoice-[숫자]_날짜.xlsb 파일명으로 메일에 첨부되어 유포되고 있다. 메일에 첨부된 엑셀 파일 실행 시 편집 사용이 제한되어 있으며, 특정 이미지가 포함되어 있어 사용자의 클릭을 유도하는 것으로 분석됐다.

또한, 해당 이미지에는 매크로가 지정되어 있는데, 사용자가 이미지를 클릭해야만 매크로가 실행되어 악성 행위를 수행하는 것으로 분석됐다. Macro1 시트는 숨겨진 시트로 존재하며, 해당 시트는 다수의 수식이 여러 셀에 나누어져 있다. 사용자가 이미지 클릭 시 경고창이 생성되는데, 사용자가 확인이나 닫기 버튼을 클릭해야만 악성 행위가 수행된다는 게 안랩 ASEC 분석팀의 설명이다.

▲메일에 첨부된 엑셀 파일 화면[자료=안랩 ASEC 분석팀]


사용자가 확인이나 닫기 버튼을 클릭한 이후 실행되는 매크로는 \%APPDATA%\Microsoft\Excel\XLSTART 폴더에 excel.rtf에 파일을 생성하고 wmic process call create ‘mshta \%APPDATA%\Microsoft\Excel\XLSTART\excel.rtf’ 명령어로 해당 파일을 실행하게 된다. excel.rtf 파일은 html 파일로 내부에는 다수의 주석을 삽입하는 등 사용자가 알아보기 어려운 형태로 된 악성 VBScript가 존재하는 것으로 드러났다.

해당 스크립트에는 %LOGONSERVER%과 %USERDOMAIN%의 변수값을 체크하는 코드가 존재한다. 일반 사용자의 경우 해당 값이 동일해 다운로드가 이루어지지 않기 때문에 AD 환경 사용자를 타깃으로 한 악성코드로 추정된다는 게 ASEC 분석팀의 설명이다. 결국 기업을 타깃으로 한 악성코드라는 얘기다.

안랩 ASEC 분석팀은 “VBA 매크로를 포함하는 엑셀 파일 뿐만 아니라 이번처럼 수식 매크로를 사용하는 엑셀 파일도 꾸준히 확인되고 있다”며, “항상 강조한 것처럼 알 수 없는 사용자로부터 수신한 메일의 첨부파일은 실행을 자제해야 하고, 파일에 포함된 악성 매크로가 자동으로 실행되지 않도록 주의해야 한다”고 당부했다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)