최근 제품소개서로 위장한 악성 워드문서가 이메일을 통해 유포되고 있어 사용자의 주의가 요구 됩니다.

보안 전문 업체 ‘안랩’에 따르면 정보 탈취 목적의 악성 워드 문서가 유포되고 있으며 문서 내부에 특정 제품들에 대한 설명을 포함하여 ‘제품소개서.doc’ 라는 제목을 사용하고 있는 것으로 확인되었습니다.

[그림] 제품소개서 .doc 파일 내부

해당 문서 내부에는 악성 VBA 매크로가 포함되어 있으며 사용자가 매크로 실행 시 악성 매크로가 자동으로 실행되어 추가 악성 파일이 다운로드 되며 temp.doc 파일을 실행시킵니다.

[그림] temp.doc 파일 내부

[표] 다운로드 URL 및 저장 경로

해당 워드 문서는 특정 기업을 사칭하여 특정 물품에 대한 내용을 포함하고 있으며 문서내 포함된 매크로가 기존에 다운로드 된 .bat 파일을 실행하는 구조로 구성되어 있어 사용자 PC의 정보 수집 및 유출의 악성 행위를 실행 합니다.

해당 문서와 스크립트 파일에서 확인된 악성 URL 주소에 접속할 경우 mail.naver.com 으로 이동되어 사용자가 정상적인 사이트를 통해 전달받은 문서를 실행하는 것으로 보이게 하기 위한 것으로 추정 됩니다.

국내 사용자를 대상으로 한 워드 문서 중 대북 관련 내용이 아닌 일상과 관련된 물류, 쇼핑 관련 내용을 담고 있는 악성 문서가 확인되고 있어 발신자가 불분명한 메일의 첨부파일의 실행을 지양하고 발신자 정보를 반드시 확인하는 등 사용자의 주의가 요구 됩니다.