Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보인보이스로 위장한 링크를 통해 유포되는 Hancitor 악성코드
작성일 2017-08-23 조회 1924

개요

Invoice등으로 위장하여 유포되는 악성코드가 발견되었는데, 해당 악성코드는 Hancitor로 악성코드중에서 큰 비중을 차지하고 있다. 주로 전자메일을 통해 유포되는데 악의적인 링크를 걸어 사용자로 하여금 클릭하게 하고 접속한 유저는 악성행위를 수행하는 문서 파일등을 다운로드 받게 된다.

 

확인내역

Hancitor는 <그림 1>과 같이 메일을 통해 유포된다. Invoice로 위장해 클릭을 유도하고 클릭을 하게 되면 Invocie_[xxxxxx].doc로 된 악의적인 문서를 다운 받는다.

<그림 1 - Invoice로 위장하여 클릭 유도>

해당 문서를 실행하고 매크로 기능이 활성화 된다면 문서내에 VBA 스크립트를 통해 악의적인 파일을 받게되고 실행이 완료되면 사용자의 금융정보등을 탈취한다.

 

대응 방안

1. 최신의 백신으로 치료한다.


2. 신뢰하지 못하는 메일의 첨부파일을 다운로드 하지 않는다.


3. Office 문서의 매크로 기능을 활성화 하지 않는다.

 

4. 의심스러운 링크는 클릭하지 않는다.

 

5. 당사 IPS 장비에서는 아래 패턴으로 대응 가능하다.

[3649] Win32/Trojan.Hancitor.528896
[3661] Email/Link.WSF.Downloader

 

참조

http://malware-traffic-analysis.net/2017/08/03/index.html
https://myonlinesecurity.co.uk/fake-efax-delivers-trickbot-banking-trojan/

 

 

 

 

첨부파일 첨부파일이 없습니다.
태그   Hancitor