안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC) 입니다.
최근 한국어로 번역된 것으로 보이는 전신 송금 확인 메일이 국내에 유입된 정황이 확인되어 주의를 당부드립니다.
이번에 발견된 악성 메일은 전신 송금을 확인하라는 내용으로 첨부된 파일의 실행을 유도합니다.
[그림 1] 악성 메일 본문
악성 메일에 첨부된 파일 '주문.rar'에는 'purchase order.exe' 실행 파일이 있습니다.
[그림 2] 악성 메일에 첨부된 '주문.rar 파일
'purchase order.exe' 파일은 %APPDATA% 경로에 'tmp.exe' 파일을 드롭 및 실행합니다.
[그림 3] tmp.exe 파일 드롭 및 실행 코드
드롭되어 실행되는 'tmp.exe' 파일은 프로세스 인젝션 이후, 정보 탈취 기능을 수행합니다.
만일 이용자가 무심결에 첨부파일을 실행하였을 경우 악성코드에 감염되어 금전 등의 피해를 볼 수 있기에 주의가 필요합니다. 따라서 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근을 삼가하여 바랍니다.
현재 알약에서 해당 악성코드들을 Trojan.Agent.FormBook, Trojan.Agent.797832em으로 진단하고 있습니다.
'악성코드 분석 리포트' 카테고리의 다른 글
지속적으로 이용자들을 위협하는 배송 스미싱 문자 주의 (0) | 2018.03.13 |
---|---|
‘XX이 협박용’ 파일명을 가진 악성코드 주의 (0) | 2018.03.08 |
국내에 유입된 전신 송금 확인 악성 메일 주의 (0) | 2018.03.06 |
사서함 업그레이드로 위장한 계정 탈취 목적의 악성 메일 주의 (0) | 2018.02.28 |
가상화폐 지갑 및 브라우저 계정정보 탈취시도 위협 주의 (0) | 2018.02.23 |
Android.Riskware.CoinMiner 악성코드 분석 보고서 (0) | 2018.02.23 |