암호화된 doc 파일이 포함된 악성 메일 유포 주의

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

 

최근 암호화된 doc 파일이 포함된 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다.

 

※ 관련글 보기

 

▶ 퍼블리셔(PUB) 파일이 첨부된 악성메일 주의

▶ 사용자 정보 탈취 목적의 악성 파일이 첨부된 메일 주의

▶ 계정 탈취 목적의 계약 체결 위장 악성 메일 주의

 

이번에 발견된 악성 메일은 ‘Application’ 이라는 제목으로 메일 본문에는 Vicky Resume.doc파일을 열기 위한 패스워드가 있습니다.

 

    [그림 1] 수신된 메일

첨부된 doc 파일을 클릭하면 아래와 같이 패스워드 입력을 요구하는 창이 뜹니다.

[그림 2] 패스워드 입력을 요구하는 창

패스워드를 입력한 후 본문 내용을 확인하면 아래와 같이 매크로 활성화를 유도합니다.

[그림 3] 매크로 활성화를 유도하는 본문 내용

만약 이용자가 이력서에 대한 자세한 정보를 열람하기 위해 매크로 허용 및 실행할 경우, 특정 웹 사이트(http://209.141.60.230/521.exe)에 접속하여 악성코드를 다운로드 받습니다.

 

[그림 4] 악성코드를 다운받는 코드

다운로드된 악성코드는 %temp% 경로에 ‘qwerty2.exe’ 이름으로 드롭 및 실행합니다.

실행된 악성코드는 사용자 정보를 탈취 한 후 난독화 하여 C&C 서버(http://zepter.com)로 전송합니다.

또한 탐지를 회피하기 위해 하나의 도메인에 다양한 IP 주소를 연결하는 패스트 플럭스(Fast Flux) 기술을 이용하였습니다.

[그림 5] C&C 정보 전송

따라서 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근을 삼가하시고, 검증되지 않은 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부 검사를 수행해주시기 바랍니다.

 

현재 알약에서는 관련 샘플을 'Trojan.Fuerboos'으로 진단하고 있습니다.