Microsoft 다운로드 관리자는 이러한 잠재적인 문제를 해결합니다. 한 번에 여러 파일을 다운로드하고 대용량 파일을 빠르고 안정적으로 다운로드 할 수있는 기능을 제공합니다. 또한 활성 다운로드를 일시 중단하고 실패한 다운로드를 다시 시작할 수 있습니다. 그림 6 악성 코드는 루트 드라이브에서 선택한 디렉토리에서 모든 파일을 찾습니다만 문서 파일 경로의 목록을 가지고, 그것은 정보의 유형을 구별하기 어렵다 이 시점에서이 악성 코드의 저자 관심. 위협 행위자는 추출을 위해 가능한 기밀 콘텐츠가 있는 문서또는 후속 피싱 시도에 사용할 수 있는 문서를 찾으려고 합니다. .lst 파일을 성공적으로 다운로드한 후 맬웨어는 pCloud에서 파일을 삭제하므로 맬웨어 분석가/연구원이 두 번째 공격 단계가 무엇인지 알 수 없습니다. 다운로드에 실패하면 맬웨어는 종료하기 전에 맬웨어가 시스템에 상주하는 최대 시간인 최대 5시간 동안 다시 시도합니다. 지금은 피해자의 시스템에서이 캠페인에서 어떤 도구 또는 맬웨어가 사용되고 있는지 추측 할 수 있습니다. 예를 들어 이 맬웨어가 다운로드하는 .lst 파일 이름은 해당 MAC 주소가 있는 피해자가 특정 파일을 수신하는 유일한 파일임을 의미합니다. 따라서 나중에 다운로드 URL 목록이 포함된 것으로 밝혀진 .lst 파일의 콘텐츠가 특정 피해자에 맞게 조정된다고 가정할 수 있습니다.

이는 공격자가 이전에 수집한 데이터를 기반으로 특정 피해자만 선택한다는 의미일 수도 있습니다. MAC 주소가 스푸프된 경우에도 공격의 두 번째 단계에 대해 특정 대상에 연결된 고유 식별자입니다. 이 가정은 이전 데이터 수집이 공격의 정찰 단계에 불과하고 다음 단계는 피해자의 환경에 달려 있다는 생각을 뒷받침합니다. 아래는 다운로더 기능의 주요 기능입니다. 이달 초, FortiGuard 연구소 연구원은 파워 포인트 취약점을 악용 악성 코드 캠페인에 대한 결과를 발표했다. 그러나 사이버 범죄자는 동등한 기회 악용자이므로 최근에 흥미로운 표적 악성 코드 캠페인이 다른 문서 취약점을 사용하는 것으로 나타났습니다. 이 때만 이미 알려진 CVE-2015-2545 캡슐화 된 PostScript (EPS) 취약점을 활용하는 HWP (HWP) 문서입니다. 그림 2 다운로드 URL이 있는 압축 해제된 쉘코드 바이너리 목록은 AES를 사용하여 암호화되며, 맬웨어가 다운로드한 파일을 구문 분석하는 방법에 따라 새 줄로 구분된 URL 목록이 포함되어 있습니다.