포스팅 내용

악성코드 분석 리포트

사망한 아이돌 가수 마지막 영상과 유서로 위장한 악성 프로그램 등장



안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 한국 포털(사) 이메일 계정을 사용하는 불특정다수를 대상으로 다량의 악성 프로그램이 전파되고 있어 각별한 주의가 필요합니다.


공격자는 초기에 구글 지메일을 이용했지만, 근래에는 한메일을 이용하고 있습니다. 지난 주에는 주로 특정인의 노출 사진인 것처럼 위장해 이용자들을 현혹시켰습니다.


그런 가운데 최근 사망한 한국의 유명 아이돌 가수의 마지막 영상 유출 내용으로 악성파일을 유포하고 있습니다.


특히, 수백명에 가까운 이메일 주소를 몰래 삽입에 동시다발적으로 유포를 수행하고 있는 상태입니다.



[그림 1] 악성 프로그램을 유포한 화면과 공격자 이메일 정보



이메일을 발송한 계정을 조사해 보면 실제 '꽃사슴' 필명으로 블로그가 존재하며, 주로 해외스포츠중계 사이트 정보가 존재합니다.



[그림 2] 악성파일 유포자의 이메일 주소와 동일한 필명으로 운영되는 블로그 화면



더불어 구글 지메일의 경우는 악성 프로그램 이메일을 유포한 다음 날 토토디비 판매라는 내용으로 게시된 것도 확인되며, 작성자 이름은 우연히도 노출사진에 사용된 이름과도 유사합니다.



[그림 3] 악성메일 유포에 사용된 구글 지메일의 게시글 화면



공격자가 유포한 이메일에 첨부된 압축 프로그램을 살펴보면 다수의 EXE 파일과 사진 파일이 포함되어 있습니다.



[그림 4] 이메일에 첨부되어 있던 압축 파일 내부 화면



압축 파일 내부에는 실제 사진들이 포함되어 있는데, 실행할 경우 다음과 같이 특정인의 실제 운전면허증 스캔 화면이 나타납니다. 개인정보가 유출되어 또 다른 사이버 공격에 도용되고 있는 것으로 추정됩니다.



[그림 5] 악성파일 유포에 함께 포함된 실제 자동차 운전 면허증 사진



이처럼 자극적인 내용을 악용해 한국 맞춤형으로 악성 프로그램이 국내에 꾸준히 유포되고 있는 상태입니다.


이런 악성 프로그램에 감염될 경우 이른바 '좀비 PC'로 전락하여 소중한 개인 정보가 유출되거나 원격제어 등을 통해 예기치 못한 피해로 이어질 수 있습니다.


따라서 이메일 이용자들은 유사 해킹 이메일에 현혹되지 않도록 하여야 합니다.


알약에서는 Trojan.Injector.715840 탐지명 등으로 추가된 상태이며, 또 다른 변종 출현에 대비에 보안 모니터링을 강화하고 있습니다.







티스토리 방명록 작성
name password homepage