[긴급] '스캔파일' 메일로 유포되는 워드 문서 주의 - Ammyy 유포
2019년 8월 9일 금요일 새벽 시간부터 국내 기업을 주로 대상으로 Ammyy 백도어를 유포하는 스팸 메일이 다수 유포되고 있어 사용자의 주의가 필요하다. 동일한 목적의 스팸 메일은 8월 8일부터 국외에서도 유포 되고 있으며, 국내에는 오늘 새벽 시간부터 집중적으로 유포되고 있다.
현재까지 확인 된 국내 기업을 대상으로 유포되고 있는 스팸 메일 제목은 '스캔파일' 이다. 해당 메일은 '스캔_(임의숫자).doc' 파일 이름의 Microsoft Office Word 워드 문서 파일을 첨부하고 있다. 메일 발송자는 '최성은'이며, 악성 워드 문서 내용은 '물품인수증'을 목적으로 한다. 발송자와 메일 제목 내용은 달라질 가능성이 높다. 악성 워드 문서 실행시 다음과 같은 화면이 보이며 사용자의 매크로 콘텐츠 사용 허용을 유도한다.
워드 문서에 포함된 매크로 코드는 InternetExplorer 오브젝트를 이용해 외부 주소에 접속하여 파일을 다운로드 받는다. 다운로드 한 파일은 인코딩 된 바이너리 파일이며, 매크로 코드로 이를 디코딩 한 후 DLL 파일로 생성하여 실행한다. DLL 파일은 외부 주소에 접속하여 C:\Windows\Temp 시스템 경로에 rundl32.exe 이름의 파일 (Ammyy 백도어 파일)을 다운로드 및 생성한다. 문서 실행 이후에 프로세스 트리는 다음과 같이 그려진다.
안랩은 스팸 메일로 유포되는 악성 문서 파일과 다운로드 되는 실행 파일을 다음과 같이 진단하고 있다. 또한 악성 워드 파일이 접속하는 악성 C&C 주소를 ASD 네트워크를 통해 차단하고 있다. (V3 제품의 Active Defense 설정 옵션이 켜져 있는지 확인)
- VBA/AMMacro.S10 (2019.08.09.02)
- Win-Trojan/Suspig9.Exp (2019.08.09.02)