2020-06-06 02:55 (토)
파워포인트 프레젠테이션 사용자 노리는 멀웨어 유포
상태바
파워포인트 프레젠테이션 사용자 노리는 멀웨어 유포
  • 길민권 기자
  • 승인 2017.06.12 14:14
이 기사를 공유합니다

범죄자들, Zusy, Tinba와 Tiny Banker은행 트로이목마 새로운 변종 유포중

PP-1.jpg
최근 보안전문가들은 사이버범죄자들이 새로운 유형의 공격기술을 이용해 멀웨어를 유포하는 것을 발견했다.

새로운 형태의 멀웨어는 파워포인트(PowerPoint) 프레젠테이션을 통해 사용자를 유도해 시스템에 악성코드를 다운로드하고 실행한다.

사이버범죄자는 표적피해자의 마우스 동작을 이용해 악성 파워포인트 파일에 첨부된 파워쉘(PowerShell)코드를 자동 실행시킨다.

현재, “order.ppsx ” 혹은 “ invoice.ppsx ” 이름의 첨부파일은 스팸 메일을 통해 유포되고 있으며, 스팸 메일 제목에는 “구매 명세서#130527”와 “확인메일(acknowledging letter)”등이 포함된 것으로 알려졌다.

사용자는 파워포인트 프레젠테이션을 열 때 “현재 로딩 중…기다려 주세요”라는 파란색 의 큰글씨 링크가 표시되는 것을 볼 수 있다.

만약 사용자가 마우스 커서를 해당 링크상에 위치시키면 클릭하지 않아도 Powershell코드 실행조작을 유발할 수 있다.

해당 PowerShell코드는 “cccn.nl” 도메인에 연결되며, 멀웨어 전송을 책임지는 파일을 다운로드하고 실행하는 것으로 나타났다.

센티널원(SentinelOne)연구원은 이번 공격활동 분석에서 사이버범죄자들이 해당 기술을 이용해 Zusy, Tinba와 Tiny Banker은행 트로이목마의 새로운 변종을 유포한다는 것을 관찰했다. 파워포인트 이용자들의 각별한 주의가 요구된다. (정보제공. 씨엔시큐리티)

★정보보안 대표 미디어 데일리시큐!★