|
[MalSpam] Win32/Trojan.SageCrypt (MS Word) 침해사고분석팀 2017.08.31 |
|
|
* 해당 게시물은 국내/외 스팸메일 사례를 소개하여 스팸메일로 발생하는 피해를 줄이는 목적으로 제작됩니다.
유포 방식: E-Mail 첨부파일
메일 내용 - 제목: Sage 구독 청구서 제출 예정 - 내용: 해당 구독료는 자동 결제되며, 구독 관련 지불 청구서는 첨부파일을 확인하세요.
[그림 1] 스팸메일 원본 (myonlinesecurity)
[첨부파일] SageCrypt Downloader 행위: SageCrypt Downloader
파일 이름: INV029383017
확장자: .doc
파일 크기: 167,424 bytes
C2: hxxp://florian-koenig[.]de/sdgLKJvgh??VdmOxo=YJLSaR
SHA256: daa46ac8ed9b0208d47951b2739d87f9e03374b6bc23f425b38e8d7176cdfba8
첨부파일의 .doc 파일을 실행하면 파일 내 스크립트를 실행하기 위해 '콘텐츠 사용' 버튼을 누르도록 유도합니다. * 신뢰하지 못하는 메일의 첨부파일은 다운로드 및 실행을 하지 마세요
이 문서는 데스크톱 또는 랩톱 버전의 Microsoft Office Word에서만 사용할 수 있습니다.
위의 노란색 막대에서 수정 버튼 사용을 클릭하십시오. 편집이 가능해지면 노란색 버튼에서 콘텐츠 사용 버튼을 클릭하십시오.
'콘텐츠 사용' 버튼을 누르는 순간 여러분의 PC는 악성코드에 감염이 됩니다. 한 번의 클릭으로 공격자의 악성코드가 여러분의 PC로 들어오는 경이로운 순간을 맞이하게 됩니다.
[그림 2] 첨부파일 .doc
[그림 3] C2 서버
[Payload] Trojan SageCrypt 행위: Trojan
파일 이름: r37
확장자: .exe
파일 크기: 241,664 bytes
SHA256: aec5edea7f7b0a038f32ecb7d6be0cc2cf68115445159fa5109a4fa45c5721e2
[방지 방안] 1) 신뢰하지 못하는 메일의 첨부파일을 다운로드 하지 않는다 2) MS Office 문서를 열 때 보호 모드 막대의 매크로를 활성화하거나 내용을 보기 위해 편집을 활성화하지 않는다 3) 해당 소프트웨어의 최신 버전을 유지한다.
[그림 4] Wins APTX(doc Downloader)
[그림 5] Wins APTX(Trojan SageCrypt)
참고 [Title 그림] https://sensorstechforum.com/new-spam-campaign-infection-using-e-zpass-toll-bills-announced-by-ic3/ [그림 1] https://myonlinesecurity.co.uk/fake-your-sage-subscription-invoice-is-due-delivers-malware/ |
