WSF 스크립트로 유포되는 AsyncRAT - ASEC BLOG 관련 IOC 15개 발견
ASEC 분석팀은 이전에 .chm 확장자를 통해 유포되는 AsyncRAT 악성코드에 대해 게시한 적이 있으며, 최근 WSF 스크립트 형태로 변형되어 유포되는 정황을 확인하였다. 이메일 등에 포함된 URL 링크에서 압축파일 형태(.zip)로 유포되는 것으로 확인되며, 압축 해제하면 .wsf확장자를 가진 파일이 있고 대부분 주석으로 이루어져 있으며 중간에 태그 하나만 존재한다. 동작하게 되면 Visual Basic 스크립트가 다운로드 되어 실행되며, .jpg파일(jpg로 위장한 zip파일)을 다운로드하고 압축을 해제한 후 Error.vbs 파일을 실행하는 명령어 문자열을 xml파일로 생성하는 것을 확인하였다.
ASEC 분석팀은 이전에 .chm 확장자를 통해 유포되는 AsyncRAT 악성코드에 대해 게시한 적이 있고, 최근 WSF 스크립트 형태로 변형되어 이메일 등에 포함된 URL 링크에서 압축파일 형태로 유포되는 것을 확인하였다. 압축 해제하면 .wsf 파일이 있고, 동작하면 Visual Basic 스크립트가 다운로드 되어 .jpg 파일을 다운로드하고 압축을 해제한 후 Error.vbs파일을 실행하는 명령어 문
Ahnlab
Asyncrat distributed in WSF script -ASEC Blog
The ASEC analysis team previously posted the ASYNCRAT malicious code distributed through the .chm extension, and recently confirmed the situation that was transformed into a WSF script form.In the URL link included in the e -mail, it is confirmed to be distributed in the form of compressed file (.zip), and when it is extracted, there is a file with a.WSF extension, a tin, and only one tag is present in the middle.When it worked, the Visual Basic script was downloaded and executed, and it was confirmed to generate a command string that executed the error.vbs file as an XML file after downloading the .jpg file (zip file disguised as JPG).
The ASEC analysis team has previously posted the ASYNCRAT malicious code distributed through the .chm extension, and recently deformed into a WSF script form and was distributed in the form of compressed files in the URL link included in the e -mail.If you unzip it, there is a.WSF file.
https://asec.ahnlab.com/ko/59377/