output1.js 명의 악성 스크립트 삽입…명령제어 서버 접속 후 악성코드 다운로드해
[보안뉴스 김영명 기자] 최근 이모텟(Emotet) 악성코드가 마이크로소프트 원노트(OneNote)를 통해 유포 중인 것이 확인됐다. 해당 악성코드는 스피어피싱을 기반으로 시작하는 이메일을 통해 악성 스크립트 파일(JS 파일)이 포함된 원노트 열람을 유도한다.
![[보안뉴스 / 3.28.] 이모텟 악성코드, MS 원노트로 유포중... 스피어피싱 이메일에 악용](http://www.boannews.com/media/upFiles2/2023/03/54610790_1388.jpg)
▲악성 원노트 첨부파일이 포함된 피싱 메일[자료=안랩 ASEC 분석팀]
안랩 ASEC 분석팀에서는 원노트를 통해 유포 중인 이모텟 악성코드를 분석했다. 해당 이메일에 첨부된 원노트를 실행하면 문서 열람을 위해 클라우드로 연결하는 버튼 클릭을 유도하며, Next 버튼에는 output1.js 명의 악성 스크립트가 삽입돼 있다.
![[보안뉴스 / 3.28.] 이모텟 악성코드, MS 원노트로 유포중... 스피어피싱 이메일에 악용](http://www.boannews.com/media/upFiles2/2023/03/54610790_9936.jpg)
▲악성 스크립트 파일 실행을 유도하는 원노트[자료=안랩 ASEC 분석팀]
실행된 output1.js 파일은 문자열 치환 방식으로 난독화돼 있으며, 최종적으로 실행된 스크립트 파일은 지정된 명령제어(C2) 서버에 접속해 이모텟 악성코드를 다운로드한다.
안랩 ASEC 분석팀은 “다운로드 된 이모텟 악성코드는 regsvr32.exe을 통해 실행된다”며 “최근 원노트를 악용한 악성코드가 유포되는 것이 자주 확인되기 때문에 출처가 불분명한 이메일이나 원노트 열람에 있어 각별한 주의가 필요하다”고 밝혔다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>