포스팅 내용

악성코드 분석 리포트

수입 세금 계산서로 위장한 악성 메일 주의



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 수입 세금 계산서로 위장한 악성 메일을 통해 정보 탈취 목적의 악성코드가 국내에 유포되고 있어 이용자들의 주의를 당부드립니다.



수입 세금 계산서로 위장한 악성 메일은 모두 동일한 내용을 가지고 있으며, 동일한 첨부 파일 'Tax_Invoice_1308182689,pdf.ace'을 실행하도록 유도합니다.


[그림 1] 수입 세금 계산서 안내 악성 메일 (1)


[그림 2] 수입 세금 계산서 안내 악성 메일 (2)


상기 해당 메일들에 첨부된 파일 'Tax_Invoice_1308182689,pdf.ace'에는 'Tax_Invoice_1308182689,pdf.exe' 악성코드가 있습니다.


[그림 3] 첨부파일 'Tax_Invoice_1308182689,pdf.ace'


이용자가 세금 계산서로 생각하고 'Tax_Invoice_1308182689,pdf.exe' 파일을 열 경우, 시스템 정보와 웹 브라우저 정보를 탈취하는 기능을 수행하는 악성코드가 실행됩니다. 다음은 시스템 정보 수집 코드와 웹 브라우저 정보에 저장된 아이디 및 비밀번호를 수집하는 코드입니다.


[그림 4] 시스템 정보 수집 코드


[그림 5] 웹 브라우저에 저장한 아이디 및 비밀번호 정보 수집 코드


수집된 정보는 암호화한 뒤, 'http://62[.]108[.]34[.]70/zayee3/gate[.]php'로 전송합니다. 수집된 정보에 웹 브라우저 아이디 및 비밀번호가 포함되어 있는 경우 계정 유출에 따른 추가 피해가 발생할 수 있어 주의가 필요합니다. 


[그림 6] 정보 전송 코드


따라서 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근을 삼가하시고검증되지 않은 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부 검사를 수행해주시기 바랍니다.


현재 알약에서는 메일에 첨부된 악성 파일을 'Trojan.Agent.632320E'로 진단하고 있습니다



티스토리 방명록 작성
name password homepage