오늘은 엑셀로 위장하는 악성코드인 May-290520223.xlsx에 대해 글을 적어 보겠습니다. 해당 악성코드는 기본적으로 엑셀로 구성돼 있으며 해당 문서를 열며 PDF 관련 이미지가 있는데 해당 링크를 클릭하면 해당 피싱 사이트로 연결이 되는 링크가 있습니다. 먼저 해당 악성코드의 해쉬값은 다음과 같습니다.
파일명:May-290520223.xlsx
사이즈:179 KB
CRC32:89e5d728
MD5:70bc6c53fc0d5c5976727ae005ce268a
SHA-1:dd5ccfdf7f8c8e12197b9370c439e73f395e55f2
SHA-256:c366b38ecff9fcb2ef3f3fd8bee9769b6acbf5a3398d66d019acb7fe0f951823
해당 악성코드에 포함된 링크 주소는 다음과 같습니다.
https://www.garagedoorrepairindiantrailnc(.)com/e-file.html
그리고 Cerbero Suite Advanced 로 보면 더 쉽게 보일 것입니다.
<Relationships xmlns="http://schemas.openxmlformats(.)org/package/2006/relationships">
<Relationship Id="rId2" Type="http://schemas.openxmlformats(.)org/
officeDocument/2006/relationships/image" Target="../media/image1.png"/>
<Relationship Id="rId1" Type="http://schemas.openxmlformats(.)org/
officeDocument/2006/relationships/hyperlink"
Target="https://www.garagedoorrepairindiantrailnc(.)com/e-file.html" TargetMode="External"/>
</Relationships>
해당 피싱 사이트는 접속을 해도 동작을 하지 않으며 2023-07-03 19:25:15 UTC 기준으로 바이러스토탈에서 탐지하는 보안 업체들은 다음과 같습니다.
ESET-NOD32:DOC/Phishing.Agent.TA
즉 안티바이러스(백신프로그램)라고 해서 모든 것을 탐지하는 것이 아니므로 첨부파일을 여는 것도 조심해야 합니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 마이크로소프트 오피스 패치 되지 않은 취약점 나토 정상회의 공격에 악용 (0) | 2023.07.14 |
|---|---|
| 윈도우 10 KB502816,KB502816 보안 업데이트 (0) | 2023.07.14 |
| Tutanota 이메일 피싱 메일-ipfs(.)io(2023.7.04) (0) | 2023.07.13 |
| 나토(NATO) 및 우크라이나 지원 그룹을 공격 하는 악성코드-Letter_NATO_Summit_Vilnius_2023_ENG.docx(2023.7.11) (0) | 2023.07.12 |
| 계정 변경 이메일 로 유포 되는 피싱 메일-System Notification(2023.7.3) (0) | 2023.07.11 |
| 미국인 사칭 로맨스 스캠 분석-Donation Prize claim(2023.7.3) (0) | 2023.07.10 |
| 모질라 파이어폭스 115.0.1 시작 충돌 수정 (0) | 2023.07.09 |
| 파일 복구 앱을 위장 하면서 개인정보 전송 하는 악성코드-File Recovery and Data Recovery(2023.07.08) (0) | 2023.07.09 |
