Notion 설치파일로 위장한 MSIX 악성코드 유포 - ASEC BLOG 관련 IOC 16개 발견
후 내용
MSIX 악성코드가 Notion 설치 파일로 위장되어 유포되고 있습니다. 유포지는 Notion 홈페이지와 유사하게 구현되어 있으며, 다운로드 버튼을 클릭하면 “Notion-x86.msix” 파일이 다운로드됩니다. 이 파일은 Windows app Installer이며 유효한 서명을 가지고 있습니다. 실행 시 설치를 누를 경우 Notion이 설치되면서 악성코드에 감염됩니다. 이 과정에서 refresh.ps1 파일이 실행되는데, 이 파일은 C2에서 명령어를 다운로드하여 실행하는 기능을 합니다.
MSIX 악성코드가 Notion 설치 파일로 위장되어 유포 중입니다. 유포지는 Notion 홈페이지와 유사하게 구현되어 있으며, 다운로드 버튼을 클릭하면 “Notion-x86.msix” 파일이 다운로드됩니다. 이 파일은 Windows app Installer이며 유효한 서명을 가지고 있습니다. 설치 시 실행되는 refresh.ps1 파일이 실질적인 악성코드로, C2에서 명령어를 다운로드하여 실행하는 기능을 합니다.
Ahnlab
MSIX malicious code disguised as a NOTION installation file -ASEC blog
Post -contents
MSIX malware is disguised as a NOTION installation file.The distribution is implemented similar to the NOTION homepage, and when you click the download button, the “NOTION-X86.MSIX” file is downloaded.This file is a Windows App Installer and has a valid signature.If you press the installation when running, the notion is installed and infected with malware.In this process, the Refresh.ps1 file is executed, which functions to download and run the command from C2.
MSIX malware is disguised as a NOTION installation file and is being distributed.The distribution is implemented similar to the NOTION homepage, and when you click the download button, the “NOTION-X86.MSIX” file is downloaded.This file is a Windows App Installer and has a valid signature.The Refresh.ps1 file that runs during installation is a real malicious code, which functions to download and run the command from C2.
https://asec.ahnlab.com/ko/62324/