해당 악성코드는 하나은행_웨이브릿지 전략적 협업 제안서.lnk 로 위장하는 특징을 가진 사례로 분석된다. 파일명은 하나은행_웨이브릿지 전략적 협업 제안서.lnk 이며 크기는 약 1 MB로 확인된다. MD5, SHA-1, SHA-256 값이 표기되나 변동 가능성이 있어 판단의 근거로만 받아들여진다. 악성코드 분석에서 확인되는 주요 구성은 PowerShell 코드가 HEX 형태로 포함되어 있다는 점으로, CyberChef 나 Notepad++ 등을 통해 쉽게 디코딩 가능하다고 설명된다.
작업 흐름은 먼저 특정 LNK 파일을 찾는 단계에서 시작된다. 하나은행_웨이묌립지 전략적 협업 제안서.pdf.lnk 형태의 미끼를 통해 사용자가 문서로 오인하도록 설계된 사회공학적 기법이 사용된다. 현재 폴더에 해당 LNK 를 찾지 못하면 %TEMP% 아래를 반복 탐색해 동일 이름의 파일을 찾는 동작이 수행된다. 그 다음 LNK 내부에서 미끼 PDF를 추출하는 단계가 진행되며 오프셋은 0x2000, 크기는 110,221 바이트이고 출력 위치는 %TEMP%\하나은행_웨이묵립지 전략적 협업 제안서.pdf 로 설정된다. 추출된 PDF 파일은 실행되지만 피해자 입장에서는 정상 문서로 보이게 만들어 악성코드의 1차 실행이 은폐된다.
이후 LNK 내부에서 2차 PowerShell 페이로드를 추출하고 실행하는 흐름이 진행된다. 원본은 같은 .lnk 파일이며 시작 오프셋은 0x1CE8D, 크기 17,497 바이트, XOR 키는 0xC8이다. 그러한 XOR로 암호화된 2차 PowerShell 문자열이 생성되며 UTF-8 인코딩으로 해석되어 Invoke-Expression 으로 실행된다. 전체 동작은 가짜 PDF 바로 가기(.lnk)로 시작해 숨김 PowerShell 을 실행하고, HEX 문자열을 코드로 복호화한 뒤 자기 자신인 .lnk 파일을 계속 읽으며 내부에서 암호화된 PDF 를 추출하고 이를 열어 피해자에게 정상 문서처럼 보이게 한 뒤, 다시 내부에서 XOR 암호화된 2차 PowerShell 을 추출해 최종 실행에 이르는 순서로 구성된다.
이와 같은 방식은 지난 자료에서 다루어진 유사 유포 패턴과 유사하므로 악성코드의 유포 경로와 기법에 대한 주의가 필요하다는 점이 강조된다. 정황상 문서 위장을 통한 사회공학적 기법과 다단계 코드 실행 구조가 함께 활용되며, 사용자 환경에서 의심스러운 파일의 실행 여부를 사전에 차단하는 보안 대책이 중요하게 다루어진다.
