CHM 파일로 유포되는 정보유출 악성코드 - ASEC BLOG 관련 IOC 19개 발견
[그림 3] 은 CHM 악성코드로부터 생성된 스크립트가 실행되는 과정을 보여준다. 스크립트는 다음과 같은 과정을 거친다. 스크립트 파일로부터 정보 탈취형 악성코드인 alg.exe를 실행하고, 다양한 프로세스를 실행하여 시스템 정보를 탈취하고 다운로드한다.
AhnLab Security Emergency response Center(ASEC)는 국내 금융 기업 및 보험사를 사칭한 CHM 악성코드를 소개하였다. 이 악성코드는 정보유출을 목적으로 17일(월)에 금융 기업과 보험사를 사칭하여 유포되었다. 안랩 EDR 제품은 이 악성코드로부터 실행되어 정보 탈취형 악성코드의 탈취 행위까지 기록하고 확인할 수 있다.
Ahnlab
Information leakage malware distributed as CHM file -ASEC blog
[Figure 3] shows the process of executing scripts generated from CHM malware.The script goes through the following process.Run Alg.exe, an information deodorant malware from the script file, and run various processes to seize and download system information.
Ahnlab Security Emergency Response Center (ASEC) introduced the CHM malicious code impersonating domestic financial companies and insurance companies.This malicious code was distributed by impersonating financial enterprises and insurance companies on Monday, 17th for the purpose of information leakage.The AhnLab EDR product is executed from this malware to record and confirm the deodorization of information deodorant malware.
https://asec.ahnlab.com/ko/55462/