포스팅 내용

악성코드 분석 리포트

법원 명령으로 위장한 악성 메일 유포 주의



안녕하세요이스트시큐리티 시큐리티대응센터(ESRC)입니다.

 

최근 악성 파일 아이콘이 터키국기 모양을 하고있는 ‘법원 명령’ 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다.

  

※ 관련글보기


이번에 발견된 악성 메일은 법원 명령에 관련된 내용으로 첨부 파일의 실행을 유도합니다.


[그림 1] 수신된 메일


첨부 파일 S12FG803.zip 에는 실행 파일인 S12FG803.exe 파일이 담겨져 있습니다.


[그림 2] 첨부된 S12FG803.zip 파일

 

특이하게도 악성 파일의 아이콘은 터키국기 모양입니다.

 

 [그림 3] 터기 국기 아이콘 파일


만약 이용자가 자세한 정보를 열람하기 위해 해당 파일을 실행할 경우, 사용자 PC정보, 브라우저 히스토리 목록, 코인 지갑 정보(Electrum, Electrum-LTC, Ethereum, Exodus, Jaxx, MultiBitHD) 등 다양한 정보를 탈취 한 후 C&C서버(http://ms22-hinet.tk/arthur/index.php)로 전송합니다.

 

[그림 4] 사용자 정보 수집 코드

 

따라서 사용자 여러분들께서는 출처가 불분명한 사용자에게서 온 이메일에 포함된 하이퍼링크 혹은 첨부파일 클릭을 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다

 

알약에서는 해당 샘플들에 대하여 ‘Spyware.Infostealer.Azorult으로 탐지중에 있습니다





 


티스토리 방명록 작성
name password homepage