Microsoft가 WhatsApp 메시지를 통한 다단계 MSI 멀웨어 공격의 동작 방식과 탐지 방법을 공개했다

Context

악성 공격자가 WhatsApp 메시지를 통해 Visual Basic Script 파일을 유포하는 다단계 공격을 수행한다. 공격자는 합법적인 Windows 유틸리티의 파일명만 변경하고 PE 메타데이터는 그대로 유지하는 실수를 저질러 탐지 가능성을 제공한다.

Technical Solution

• WhatsApp 메시지 → 악성 VBS 파일 유포
• C:\ProgramData에 숨김 폴더 생성 → 합법적 Windows 도구 파일명 변경 후 배치
• AWS, Tencent Cloud, Backblaze B2 → 이차 VBS 페이로드 다운로드
• UAC 설정 변경 → cmd.exe elevated 권한 획득 시도
• MSI 인스톨러 배포 → AnyDesk 등 합법 도구로 원격 접속 확보

Impact

수치 기반 성능 변화 없음

Key Takeaway

OriginalFileName 메타데이터와 파일명의 불일치를 탐지 신호로 활용하면 Living-off-the-Land 공격을 효과적으로 탐지할 수 있다.