안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
특정 기업의 프로젝트 파일처럼 위장한 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다.
이번에 발견된 악성 메일은 ‘(기계설비, 금속구조물)PROJECT.20181012’ 라는 제목으로 메일 본문에는 ‘첨부된 파일 참조하여 주시기 바랍니다.’ 라는 내용으로 첨부된 파일의 실행을 유도합니다.
[그림 1] 수신된 메일
메일에 첨부된 파일 ‘(기계설비,금속구조물)PROJECT.20181012.ace’ 에는 악성 실행 파일 있습니다.
[그림 2] 첨부파일 ‘(기계설비,금속구조물)PROJECT.20181012.ace’
만약 이용자가 프로젝트에 대한 자세한 정보를 열람하기 위해 실행할 경우, %TEMP% 경로에 ‘Scanned’ 폴더를 생성하고, 폴더 하위에 ‘scanned.exe’와 ‘scanned.vbs’ 파일을 생성합니다. ‘scanned.exe’는 자가 복제된 악성 파일이고, ‘scanned.vbs’는 자동 실행 레지스트리에 ‘scanned’ 값으로 자기 자신(scanned.vbs) 등록 및 자가 복제된 ‘scanned.exe’ 악성 프로그램을 실행하는 악성 스크립트 입니다.
[그림 3] ‘scanned.vbs’ 실행 코드
‘scanned.vbs’ 코드는 다음과 같습니다.
[그림 4] ‘scanned.vbs’ 코드
최종적으로 실행되는 프로세스(scanned.exe)는 FormBook 악성코드로 정보 탈취 기능 등을 수행 합니다.
따라서 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근을 삼가하시고, 검증되지 않은 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부 검사를 수행해주시기 바랍니다.
현재 알약에서는 관련 샘플을 ’Trojan.Injector.567504B'으로 진단하고 있습니다.
새로운 KONNI 캠페인 등장, '작전명 해피 바이러스(Operation Happy Virus)' (0) | 2018.10.18 |
---|---|
견적서 요청 내용의 악성 메일 지속적으로 발견중! (0) | 2018.10.18 |
사용자 계정정보 입력을 유도하는 애플 아이디 피싱 메일 주의! (0) | 2018.10.15 |
국내 실제 기업명을 사칭한 악성 메일 유포 주의 (0) | 2018.10.05 |
이미지를 드롭하는 갠드크랩(GandCrab) 5.0.4 발견! (0) | 2018.10.04 |
댓글 영역