Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보[Malspam] Win32/Ransomware.GlobeImposter (MS Word)
작성일 2018-11-08 조회 118

 

 

 

 

 

 

* 해당 게시물은 국내/외 스팸메일 사례를 소개하여 스팸메일로 발생하는 피해를 줄이는 목적으로 제작됩니다.

 

 

 

 

유포 방식: E-Mail 내 첨부파일 (doc)

 

메일 내용

 - 제목: 입시 지원서

 - 내용: 원하는 포지션에 지원하는 입사 지원서

 

[그림] 입사지원서로 위장한 스팸메일

 

 

[Downloader] MS Word

 

행위: 악성코드 다운로더
파일 크기: 39,936 bytes
SHA256: 691925a541ee658fb51951681556ccbeecaab58187bb3d5fea87feda445e74de
C2 

 - hxxp://209[.]141.60.230/516.exe

 

 

 

다운로드 된 Doc 파일을 실행하면 콘텐츠 사용 버튼 클릭을 유도합니다.

 

 

[그림]  콘텐츠 사용 버튼 활성화 유도

 

 

 

콘텐츠 사용 버튼 클릭 시, vba 스크립트가 실행됩니다.

 

[그림] vba 스크립트

 

 

 

 

악성 매크로가 실행되고, C2에서 Ransomware 를 다운로드 받아 실행합니다.

 
 
[그림] Malware Download Packet
 
 
 
 
 

[Ransomware] GlobeImposter

 

행위: Ransomware
SHA256 : 82be80b73fa6bb8fd11a5a4a5e4aca2c3db90779575201fec6e10e6b3923fac1
파일 크기: 603,648 bytes

 

 

 

악성코드 다운로드 이후 자동으로 실행되며, 사용자 PC 의 파일을 암호화합니다.

 

 

 

[Sniprt APTX 탐지 결과]

 

[그림] APTX Detect

 

 

 

 

[방지 방안]

1) 신뢰하지 못하는 메일의 링크는 클릭하지 않는다

2) 메일 첨부파일에 존재하는 js, zip, exe, VBS, jse, JAR, 문서파일 등 의심스러운 파일의 확장자는 실행하지 않는다.

3) 백신 및 소프트웨어는 최신 상태로 유지한다.

 

 

 

 

Source

[Title 그림] https://sensorstechforum.com/new-spam-campaign-infection-using-e-zpass-toll-bills-announced-by-ic3/

https://www.malware-traffic-analysis.net/2018/10/26/index2.html

첨부파일 첨부파일이 없습니다.
태그 Malspam  Ransomware  GlobeImposter