'미북 정상회담 전망 및 대비.hwp'제목으로 위장한 악성 파일 발견
공격자는 악성코드의 감염 사실을 사용자로부터 은폐하기 위해 hwp취약점을 이용해 정상 프로세스인 iexplore.exe에 악성코드를 인젝션했다. 해당 코드는 C&C서버로부터 악성코드 다운로더 기능을 수행한다.
최종적으로 실행되는 코드의 주된 악성 행위는 키로깅행위이며 시스템 정보와 프로세스 리스트 등의 정보를 탈취하고 국내 특정 백신 회사 이름으로 폴더를 생성해 획득한 사용자의 정보들을 저장한다.
이후 iexplore.exe로 프로세스 인젝션해 네이버로 로그인을 시도한다. 로그인에 필요한 정보는 악성코드 내부에 저장된다.
이스트시큐리티 시큐리티대응센터(ESRC) 측은 19일 "분석 시점인 현재는 접속이 되지 않아 추가적인 악성 행위 확인이 어렵다. 하지만 정치적으로 민감한 제목과 내용으로 위장해 악성코드를 전파시키려는 의도로 기관과 기업 관계자들은 각별한 유의가 필요하다"고 각별한 주의를 당부했다.
★정보보안 대표 미디어 데일리시큐!★
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지