국내 IT 기업을 사칭하여 유포되는 VenomRAT(AsyncRAT) - ASEC BLOG 관련 IOC 12개 발견
ASEC는 AsyncRAT(VenomRAT)을 다운로드하는 바로가기 파일(.lnk)을 확인하였고, 정상 워드 문서로 위장하기 위해 “설문조사.docx.lnk” 파일명으로 압축 파일로 유포되었다. 또한, 실행 파일(blues.exe)이 국내 기업의 인증서로 위장하고 있어 사용자의 주의가 필요하다. 압축 파일 내부에는 텍스트 문서와 악성 LNK 파일이 포함되어 있고, 텍스트 문서 내부에는 악성 LNK 파일의 실행을 유도하는 문구가 작성되어있다.
ASEC가 AsyncRAT(VenomRAT)을 다운로드하는 바로가기 파일(.lnk)을 확인하였고, “설문조사.docx.lnk” 파일명으로 정상 텍스트 문서와 함께 압축 파일로 유포되었다. 실행 파일(blues.exe)이 국내 기업의 인증서로 위장하고 있어 사용자의 주의가 필요하며, 압축 파일 내부에는 텍스트 문서와 악성 LNK 파일이 포함되어 있고, 텍스트 문서 내부에는 악성 LNK 파일의 실행을 유도하는 문구가 작성되어 있다는 것을 ASEC이 확인하였다.
Ahnlab
Venomrat (ASYNCRAT) that impersonates domestic IT companies -ASEC Blog
ASEC confirmed the shortcut file (.LNK) that downloads Asyncrat (Venomrat), and was distributed as a compressed file under the “Survey.Docx.LNK” file name to disguise it as a normal word document.In addition, the executable file (blues.exe) is disguised as a certificate of a domestic company, so the user’s attention is needed.Inside the compression file contains text documents and malignant LNK files, and there is a phrase inside the text document to induce execution of malicious LNK files.
ASEC confirmed the shortcut file (.LNK) that downloads Asyncrat (Venomrat), and was distributed as a compressed file with a normal text document under the “survey.docx.lnk” file name.The executable file (BlueS.exe) is disguised as a certificate of a domestic company, requiring the user’s attention, a text document and a malicious LNK file inside the compression file, and the execution of malicious LNK files inside the text document is induced inside the text document.Asec confirmed that the phrase is written.
https://asec.ahnlab.com/ko/60555/