포스팅 내용

악성코드 분석 리포트

상품 관련 내용으로 유포되는 악성 메일 주의


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 국내에 지속적으로 상품 관련 내용으로 악성 메일이 유포되고 있어 주의를 당부드립니다. 이번에 발견된 악성 메일은 상품 출고 지연 내용과 함께 선적 서류로 위장한 첨부 파일 실행을 유도하는 내용을 담고 있습니다.


[그림 1] 상품 출고 지연 내용의 악성 메일


첨부파일에는 악성 실행 파일 'Shipping Documents.exe'가 있습니다.


[그림 2] 첨부파일 'Shipping Documents.rar'


이용자가 파일 이름만 보고 선적 관련 서류라고 생각해서, 파일을 실행할 경우 악성코드가 실행됩니다. 'Shipping Documents.exe'는 .NET로 제작되어 있으며, 자기 자신을 자식 프로세스로 실행한 뒤, 정보 탈취 기능을 수행하는 악성코드를 인젝션합니다. 다음은 인젝션하는 코드의 일부입니다.


[그림 3] 인젝션 코드의 일부


인젝션되어 실행되는 악성코드는 웹 브라우저에 인라인 후킹을 하고, 입력한 정보를 C&C로 전송합니다. 다음은 C&C로 입력한 정보를 전송하는 화면입니다.


[그림 4] C&C로 정보 보내는 화면


관련하여 유사 악성 이메일을 확인하던 중, 상품 견적 의뢰 내용으로 첨부 파일 실행을 유도하는 악성 메일이 추가로 발견되었습니다.


[그림 5] 상품 견적서 위장 악성 메일


첨부파일에는 국내 특정 기업 이름과 함께 상품 견적 의뢰 대상 문서로 위장한 실행 파일이 있습니다.


[그림 6] 상품 견적서 악성 메일의 첨부 파일


첨부 파일에 있는 악성 실행 파일(exe)을 클릭할 경우, 웹 브라우저 및 FTP 정보를 탈취하여 C&C(http://62.108.34.49/1zayee/gate.php)로 전송하는 악성코드가 실행됩니다. 


[그림 7] 정보 전송 코드


최근 지속적으로 상품 관련 내용으로 위장한 악성 메일이 발견되고 있습니다. 따라서 이용자들은 출처가 불분명한 메일에 있는 링크 혹은 첨부파일에 대해 접근을 삼가주시기 바랍니다. 또한 백신 업데이트 상태를 항상 최신으로 유지해주시기 바랍니다.



현재 알약에서는 관련 악성코드를 'Trojan.Agent.188416B, Trojan.Agent.717312B'로 진단하고 있습니다.



티스토리 방명록 작성
name password homepage