포스팅 내용

악성코드 분석 리포트

제품 견적서 확인 내용으로 위장한 악성 메일 주의


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 제품 견적서 확인 내용으로 위장한 악성 메일이 국내에 유포되는 정황이 포착되어 주의를 당부드립니다.



이번에 발견된 악성 메일은 모델과 시리얼 넘버(S/N) 내용의 제품 견적을 참고하라는 내용을 담고 있으며, 첨부 파일 실행을 유도합니다.


[그림 1] 제품 견적 내용을 담고 있는 악성 메일


메일에 첨부된 파일 '(기업명) (PJT) 20120152RMH063.HRQ3_455 28E WITH 400 SETS.zip', '(기업명) CATALOGUE.ace'에는 모두 동일하게 '_outputD876E0.exe' PE 파일이 있습니다.


[그림 2] 악성 메일에 첨부된 파일


만일 이용자가 제품 견적서 내지는 카탈로그로 잘못 인지하여 무심결에 파일을 실행할 경우 악성코드가 실행됩니다. 해당 악성코드는 프로세스 인젝션 이후, 이용자의 정보를 탈취하는 기능을 수행합니다. 다음은 정보 탈취를 위해 HttpSendRequestA, HttpSendRequestW API에 인라인 후킹을 하는 코드의 일부입니다.


[그림 3] 인라인 후킹 코드의 일부


다음은 인터넷 익스플로러에서 접속한 사이트 및 이용자가 입력한 정보를 암호화한 뒤, C&C(fiscoray.com)로 전송하는 코드 및 화면입니다.


[그림 4] 정보 전송 코드의 일부


[그림 5] C&C로 입력한 데이터가 전송되는 화면


관련하여 악성코드에서 다음의 도메인들이 발견되었습니다.


www.jfbow11.com

www.nordicxpres.com

www.apptrafficupdates.download

www.wholesalebagslv.com

www.bgod.ltd

www.cdlubinsi.com

www.kirstyandjames.com

www.powa20.win

www.bluemtnconstruction.com

www.douksuvsok.live

www.waebtx.info

www.clphio.men

www.goldproblem.com

www.fourmisguerrieres.com

www.kanawhavalleyparent.com


이용자가 무심결에 첨부파일을 실행하였을 경우 악성코드에 감염되어 금전적인 피해나 개인 정보 유출 피해가 발생할 수 있어 주의가 필요합니다. 따라서 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근을 삼가하여 바랍니다.


해당 악성코드는 현재 알약에서 'Trojan.Agent.FormBook'로 진단하고 있습니다.



티스토리 방명록 작성
name password homepage