입사지원서를 위장한 악성코드 유포 중 - ASEC BLOG 관련 IOC 9개 발견
AhnLab Security Emergency response Center(ASEC)에서는 입사지원서를 위장한 악성 코드가 꾸준히 유포되고 있음을 확인하였다. 자사 제품명의 프로세스(V3Lite.exe)를 비롯해 다양한 백신 프로세스의 존재 여부를 확인하는 기능과 국내 구인구직 사이트와 유사한 악성 URL을 통해 유포되고 있음을 확인하였다. 다운로드 되는 악성 파일은 화면보호기 확장자와 한글 문서 아이콘을 지니고 있고 실행 시 내부 RCDATA에 존재하는 압축 파일 데이터가 %Public%[6자리 랜덤 문자].zip으로 저장된다. AhnLab Security Emergency response Center(ASEC)에서는 입사지원서를 위장한 악성 코드가 꾸준히 유포되고 있음을 확인하였다. 자사 제품명의 프로세스(V3Lite.exe)를 비롯해 다양한 백신 프로세스의 존재 여부를 확인하는 기능과 국내 구인구직 사이트와 유사한 악성 URL을 통해 유포되고 있고, 다운로드 되는 악성 파일은 화면보호기 확장자와 한글 문서 아이콘을 지니고 있으며 실행 시 내부 RCDATA에 존재하는 압축 파일 데이터가 %Public%[6자리 랜덤 문자].zip으로 저장됨을 확인하였다.
Ahnlab
Malware dissemination of malicious code disguised as a job application -ASEC blog
Ahnlab Security Emergency Response Center (ASEC) confirmed that malicious code disguised as a job application has been steadily distributed.It was confirmed that it was distributed through the function of confirming the existence of various vaccine processes, including the process of its own product name (V3Lite.exe), and the malicious URL similar to the domestic job site.The downloaded malicious file has a screen saver extension and a Korean document icon, and the compressed file data in the internal RCDATA when running is stored as a %public %\ [6 -digit random character] .zip.Ahnlab Security Emergency Response Center (ASEC) confirmed that malicious code disguised as a job application has been steadily distributed.It is distributed through the function of checking the presence of various vaccine processes, including the process of its own product name (V3Lite.exe), and the malicious URL similar to the domestic job site, and the downloaded malicious file has a screen saver extension and a Korean document icon.And it was confirmed that the compressed file data present in the internal RCDATA was stored as a .zip.
https://asec.ahnlab.com/ko/53562/