포스팅 내용

악성코드 분석 리포트

수입통관 관련 메일을 위장한 스피어피싱 주의!



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


새해가 밝았지만 공격자들의 공격 시도는 끊임없이 발생되고 있습니다. 



연말연시를 맞아 수입 통관과 관련된 내용으로 위장한 피싱 메일이 유포되었으며,  이미 국내에서 피해가 발생하여 사용자들의 각별한 주의가 필요합니다.


[그림 1] 수신된 메일


이번 피싱 메일은 악성 .ace 파일과 함께 .xls 파일을 첨부하여 사용자들을 현혹하고 있습니다. 


.xls 파일은 아무 역할을 하지 않으며, 악성 .ace 파일 안에는 악성 .exe 파일이 포함되어 있습니다. 


사용자가 .ace 안에 포함되어 있는 exe 파일을 실행하면 Loki bot 악성코드가 실행되며, 사용자 PC 정보와 함께 웹 브라우저, FTP 프로그램 등에 저장해 놓은 계정 비밀번호를 수집 및 탈취합니다. 


다음은 웹 브라우저 및 FTP 프로그램에 저장된 아이디 및 비밀번호 정보를 탈취하는 코드입니다.


[그림 2]  FTP 프로그램에 저장된 정보 탈취 코드


[그림3] 웹 브라우저에 저장된 정보 탈취 코드


수집된 정보들은 C&C 서버(http://eca-enn.com/gold/Panel/fre.php – 185.126.200.167)로 전송합니다. 다음은 C&C로 전송되는 데이터의 일부입니다. 


[그림 4] C&C로 전송되는 데이터의 일부


악성코드 감염에 의해 시스템 정보 및 웹 브라우저, FTP에 저장된 아이디 및 비밀번호 정보 유출과 C&C에서 받아온 데이터에 따른 추가 악성 행위를 할 수 있어 피해가 발생할 수 있습니다.


따라서 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근을 삼가하시고, 검증되지 않은 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부 검사를 수행해주시기 바랍니다.


현재 알약에서는 관련 샘플을 'Spyware.Noon.gen'로 진단하고 있습니다.




티스토리 방명록 작성
name password homepage