요약

- Rietspoof : 다단계 악성코드로 다양한 파일 형식을 사용하며, 더욱 강력한 악성코드 감염을 유도하여 dropper 혹은  downloader라고 분류 됨.

- 최초 발견 : 2018

- 감염 경로 : Skype, Facebook 등 다양한 메신저 앱을 통해 전파

- 메신저를 통한 악성코드 전파 사례 : Eko(원치 않은 광고 화면을 팝업으로 띄우고, 사용자의 개인정보를 탈취 하며, 

                                                 감염 링크를 다른 계정 사용자에게 메시지로 보내 전파시도)

  (https://www.hackread.com/eko-malware-targeting-facebook-messenger-users/)

 *정확환 공격 목적과 공격 대상에 대해서는 밝혀지지 않음 


영향성

상용 메신저 사용 시 다운로드 URL 주의 필요


참고자료

Avast 분석 : https://blog.avast.com/rietspoof-malware-increases-activity?ref=cj&utm_medium=affiliate&utm_source=commissionjunction&utm_campaign=6158287&couponfield=yes&cjevent=9ccaee95344011e98011006a0a180513

출처 : https://www.softwaretestingnews.co.uk/19720-2-rietspoof-malware-facebook-skype/

   https://www.softwaretestingnews.co.uk/19720-2-rietspoof-malware-facebook-skype/


<요약>


- MS Excel과 Word는 링크와 외부 OLE 객체 등을 사용자가 많이 사용함에 따라 ""오피스 전파 주무대""(Office Dropping Arena)로 여겨짐. 

- MS PowerPoint도 악성코드를 전파하고 실행하는데 사용된 것이 포착됨

- 공격방법 : 실행 가능한 텍스트와 첨부된 문서가 포함된 이메일을 활용

1) 사용자가 악성 파워포인트를 보면 아무것도 없는 빈 페이지로 보임. 하지만 악성 링크가 연결 되어 있어 공격이 시작됨. 

2) 파워포인트의 구조에서 외부 OLE객체가 다운 되는 것을 확인 할 수 있음

악성 외부 객체가 목표 시스템에 다운로드 되고 실행됨. 

감염단계에서 실행된 외부 객체(Javascript)는 새로운 파일이름으로 시스템 임시파일 폴더에 저장됨

3) 추가 악성 코드를 읽고 실행하기 위해 감염 PC의 내부 자산을 사용.

PE 파일의 내부 자산 아래의 이미지를 읽고, 이를 추출하여 실행함.

4) 최종 페이로드는 AzoRult 멀웨어와 유사



<영향성>


- 예전에도 파워포인트 이메일 첨부파일을 활용한 멀웨어 공격이 있었음

- 하지만 MS 오피스 사용자들이 이러한 공격을 잘 알지 못하며 이에 취약함.



<참고자료>


출처: http://www.ehackingnews.com/2018/11/microsoft-powerpoint-susceptible-to.html

취약점 발견자 원문 : https://marcoramilli.blogspot.com/2018/11/microsoft-powerpoint-as-malware-dropper.html

+ Recent posts