매크로가 없는 Microsoft Word 스팸 첨부 파일은 사용자를 맬웨어로 감염시킵니다.

잡집Dec 19, 2021

맬웨어를 퍼뜨리는 Word 문서 첨부 파일이 더 이상 매크로를 활성화하도록 요청하지 않습니다.

매크로가 없는 스팸 공격은 이미 사용 중입니다.

수년 동안 악성 첨부 파일이 포함된 스팸 이메일은 악성 코드의 93%를 실행한 방법입니다.[1] 지난 몇 년 동안. Trustwave SpiderLabs의 최신 뉴스로 판단[2] 연구원들은 주로 트로이 목마, 스파이웨어, 키로거, 웜, 그리고 랜섬웨어는 사람들이 얼마나 많은 악성 이메일 첨부 파일을 열 것인지에 달려 있습니다. 그럼에도 불구하고 해커는 한 가지 중요한 변경 사항을 도입할 것입니다. 지금부터 사람들은 스팸 메일을 받을 수 있습니다. 매크로를 실행할 필요 없이 악성 Word 문서, Excel 또는 PowerPoint 첨부 파일 포함 스크립트. 잠재적 피해자가 매크로를 활성화한 경우에만 이전 멀웨어가 실행되었다면,[3] 이제 이메일 첨부 파일을 두 번 클릭하여 활성화됩니다.

매크로가 없는 기술은 이미 사용 중입니다.

연구원들은 2월 초에야 겨우 발견했지만, 매크로가 없는 기술은 너무 일찍 출시되었으며 잠재적인 피해자는 이미 그들을 받았다.

이 새로운 매크로가 없는 스팸 캠페인은 악성 Word 첨부 파일을 사용하여 4단계 감염을 활성화합니다. Office Equation Editor 취약점(CVE-2017-11882)은 피해자의 이메일, FTP 및 브라우저. Microsoft는 작년에 이미 CVE-2017-11882 취약점을 패치했지만 많은 시스템이 어떤 이유로든 패치를 받지 못했습니다.

맬웨어를 전파하는 데 사용되는 매크로 없는 기술은 .DOCX 형식의 첨부 파일에 고유한 반면 스팸 이메일의 출처는 Necurs 봇넷입니다.[4] Trustwave에 따르면 주제는 다를 수 있지만 모두 재정적 관계가 있습니다. 네 가지 가능한 버전이 발견되었습니다.

  • TNT 계정 명세서
  • 견적 요청
  • Telex 전송 알림
  • 잔액 지불을 위한 신속한 복사

SpiderLabs는 악성 첨부 파일이 모든 유형의 매크로가 없는 스팸 이메일과 일치한다는 것을 승인했습니다. 그들에 따르면 .DOCX 첨부 파일의 이름은 "receipt.docx"입니다.

매크로 프리 익스플로잇 기법의 사슬

잠재적인 피해자가 .DOCX 파일을 여는 즉시 다단계 감염 프로세스가 시작됩니다. 후자는 해커 서버에 대한 외부 참조를 포함하는 포함된 OLE(Object Linking and Embedding) 개체를 트리거합니다. 이런 식으로 해커는 document.xml.rels에서 참조할 OLE 개체에 원격으로 액세스할 수 있습니다.

스패머는 Microsoft Office 2007을 사용하여 만든 Word(또는 .DOCX 형식) 문서를 악용합니다. 이 유형의 문서는 XML 및 ZIP 아카이브 기술을 기반으로 하는 Open XML 형식을 사용합니다. 공격자는 이러한 기술을 수동 및 자동으로 조작하는 방법을 찾았습니다. 그 후 2단계는 PC 사용자가 악성 .DOCX 파일을 열 때만 시작됩니다. 파일을 열면 원격 연결을 설정하고 RTF(서식 있는 텍스트 파일 형식) 파일을 다운로드합니다.

사용자가 DOCX 파일을 열면 hxxp://gamestoredownload[.]download/WS-word2017pa[.]doc URL에서 원격 문서 파일에 액세스할 수 있습니다. 이것은 실제로 다운로드되어 실행되는 RTF 파일입니다.

매크로가 없는 악성코드 실행 기술은 다음과 같습니다.

  • 잠재적 피해자는 .DOCX 파일이 첨부된 이메일을 받습니다.
  • 첨부 파일을 두 번 클릭하고 OLE 개체를 다운로드합니다.
  • 이제 실제로 RTF인 가정된 Doc 파일이 결국 열립니다.
  • DOC 파일은 CVE-2017-11882 Office Equation Editor 취약점을 악용합니다.
  • 악성 코드는 MSHTA 명령줄을 실행합니다.
  • 이 명령은 VBScript가 포함된 HTA 파일을 다운로드하여 실행합니다.
  • VBScript는 PowerShell 스크립트의 압축을 풉니다.
  • Powershell 스크립트는 이후에 맬웨어를 설치합니다.

매크로가 없는 맬웨어 공격으로부터 자신을 보호하기 위해 Windows OS 및 Office를 최신 상태로 유지

사이버 보안 전문가들은 아직 Necurs 공격으로부터 사람들의 이메일 계정을 보호하는 방법을 찾지 못했습니다. 아마도 100% 보호는 전혀 발견되지 않을 것입니다. 가장 중요한 조언은 의심스러운 이메일 메시지를 멀리하는 것입니다. 공식 문서를 기다리지 않았는데 갑자기 문서를 받은 경우 이 트릭에 속지 마십시오. 공식 당국은 공식 알림에 실수를 거의 남기지 않기 때문에 문법이나 오타가 있는지 이러한 메시지를 조사하십시오.

주의 외에도 Windows 및 Office를 최신 상태로 유지하는 것이 중요합니다. 장기간 자동 업데이트를 비활성화한 사람은 심각한 바이러스 감염 위험이 높습니다. 오래된 시스템 및 설치된 소프트웨어에는 최신 업데이트를 설치해야만 패치할 수 있는 CVE-2017-11882와 같은 취약점이 있을 수 있습니다.