일본국민세금청(국세청) 스팸메일 공격... .js 파일 열면 바이러스에 감염당해

일본국민세금청(국세청) 스팸메일 공격... .js 파일 열면 바이러스에 감염당해

日本国民税金庁(国税庁)迷惑メール .jsファイル開くとウイルス感染被害

최근 일본에서 제목 앞에 '일본국민세금청'이라는 표기가 붙은 악성 메일들이 확산되고 있습니다. 공격자는 이메일 제목에 이러한 표기를 붙여 일본 사용자들이 해당 메일이 마치 국세청에서 온 메일로 착각하게 만들고, 악성파일을 실행하게 유도하고 있습니다. 메일 사용자분들의 각별한 주의가 필요합니다. 

첨부파일은 JScript파일(확장자 '.js')로 세금과 관련된 파일을 위장하고 있습니다. 

「Japan National Tax Agency.js」「Tax.js」

이미지 출처 : http://blogs.yahoo.co.jp/fireflyframer/34326286.html

해당 파일을 클릭하면 스크립트엔진 wscript.exe → 커맨드프롬프트 cmd.exe → powershell.exe의 순서로 실행됩니다.

 

이미지 출처 : http://blogs.yahoo.co.jp/fireflyframer/34326286.html

  

이미지 출처 : http://blogs.yahoo.co.jp/fireflyframer/34326286.html

그 후 PowerShell을 이용하여 외부 서버에서 ‘Roaming.exe'라는 악성 파일을 내려받아 로컬에서 실행시킵니다.

 

파일 다운로드 처리는 PowerShell 스크립트로 이루어집니다. 이 실행파일은 뱅킹 악성코드 Ursnif 일 것으로 예상되고 있습니다.

공격대상은 Windows PC에만 한정되며, Mac OS, Android 스마트폰, iOS（iPhone/iPad）등은 공격대상에서 제외되고 있습니다.

이렇게 스팸메일을 통하여 유포되는 악성코드에 대응하기 위해서는 이메일에 첨부된 .js파일을 실행시키지 말아야 합니다. 이러한 첨부파일을 열어볼 경우, 악성코드에 감염될 수 있습니다. 이에 대한 대응 방법으로 방화벽의 아웃바운드 룰에서 powershell.exe의 통신을 차단하는 방법으로 공격시도를 무력화하는 방법도 있습니다. 

이번 스팸메일과 관련하여, 일본 국세청에서는 홈페이지를 통해 사용자에게 메일 공격과 관련된 주의를 당부하는 공지를 게시했습니다.

<국세청 홈페이지 공지내용>

국세청을 사칭하는 자/단체에게서 수상한 메일이 송신되는 사례가 발생하고 있사오니 주의해주십시오. 

최근 ‘일본국민세금청(국세청)’을 사칭한 수상한 메일이 발송되고 있다는 정보가 들어오고 있습니다. 국세청에서는 납세자 여러분에게 전자메일로 직접, 신청서 제출기한이나 벌칙 등에 관한 내용을 공지하나 첨부파일을 발송하지 않습니다. 따라서 메일에 첨부된 파일은 클릭하지 않도록 부탁 드리겠습니다.

○수상한 메일의 개요

일본국민세금청(국세청)에서는 규약과 신고서의 제출기한을 변경합니다.

소득세나 소비세를 바탕으로 한, 신 제도에 정통한 새로운 세무서를 보고합니다.

만약 후술에 있는 절차에 따라 신고서를 제출하지 않는 경우, 혹은 본인의 정보, 경제상황에 대해 거짓이 있다고 판명된 경우 당청에서는 5,000~10,000엔 정도의 자산의 제제조치를 내릴 것을 명기합니다. 또한 위반행위를 재차 할 경우 10,000~60,000엔의 범위 내에서 벌금을 부과하겠습니다.

주의사항

모든 기일! 상세한 내용은 첨부파일에 기재되어 있습니다.

일본국세청

궁금한 점이 있을 시에는 국세청 또는 국세국(소)(총무과)에 문의해주십시오.

한편, 알약에서는 해당 악성코드를 Trojan.Banker.URSNIF로 탐지하고 있습니다.

출처 :

http://blogs.yahoo.co.jp/fireflyframer/34326286.html

https://www.nta.go.jp/sonota/sonota/osirase/topics/note_fake.htm