[업데이트][주의] 견적서를 위장한 악성메일 지속적으로 유포중! 사용자들의 주의 필요

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

견적서 관련 내용의 악성 메일이 또 다시 발견되었습니다. 

이번에 발견된 악성 메일들은 다양한 형태로 작성되어 유포되었으나, 내용은 모두 견적서 메일로 위장하고 있습니다.  

[그림 1] 다양한 형태의 견적서 악성메일

첨부되어 있는 zip 혹은 ace 파일에는 악성 exe 파일들이 포함되어 있으며, 일부의 경우 doc 파일들도 포함되어 있습니다. 

[그림 2] 악성메일에 포함된 첨부파일

악성 메일들의 내용이나 첨부 파일들의 형태는 각기 달랐지만, 실제 분석해본 결과 C&C 정보와 드롭되는 파일 이름만 다른 동일한 코드임이 확인되었습니다. 

사용자가 자세한 정보를 열람하기 위해 악성 파일들을 실행할 경우, %TEMP% 경로에 특정 이름의 폴더를 생성하고, 해당 폴더 하위에 생성한 폴더와 동일한 이름을 가진 exe 파일과 vbs 파일을 생성합니다. 

exe 파일은 자가 복제된 악성 파일이며, vbs 파일은 자동 실행 레지스트리에 자신이 생성한 특정 폴더 이름의 값으로 자기 자신(.vbs) 등록 및 자가 복제된 exe 악성 프로그램을 실행하는 악성 스크립트 입니다.

 

 [그림 3] 악성 vbs 실행 코드

악성 vbs 코드는 다음과 같습니다. 

[그림 4] 악성 vbs 코드

최종적으로 실행되는 프로세스는 Loki bot 혹은 인포스틸러 악성코드로 사용자 PC 정보와 함께 웹 브라우저, FTP 프로그램 등에 저장해 놓은 계정 비밀번호를 수집하는 코드가 실행 됩니다. 다음은 웹 브라우저 및 FTP 프로그램에 저장된 아이디 및 비밀번호 정보를 탈취하는 코드입니다.

 

[그림 5] FTP 프로그램에 저장된 정보 탈취 코드

[그림 6] 웹 브라우저에 저장된 정보 탈취 코드

수집된 정보들은 C&C 서버로 전송합니다. 다음은 C&C로 전송되는 데이터의 일부입니다.

[그림 7] C&C로 전송되는 데이터의 일부

정보 전송 이후, C&C 에서 받은 데이터에 따라 봇 기능이 수행됩니다. 봇 기능으로 컴퓨터 정보, 웹 브라우저, FTP 정보 탈취 행위, 악성코드(EXE, DLL) 추가 다운로드 및 실행 기능이 있습니다. 다음 C&C에서 가져온 데이터에 따른 봇 기능 코드의 일부 입니다.

[그림 8] C&C로 전송되는 데이터의 일부

최종적으로 악성코드 감염에 의해 시스템 정보 및 웹 브라우저, FTP에 저장된 아이디 및 비밀번호 정보 유출과 C&C에서 받아온 데이터에 따른 추가 악성 행위를 할 수 있어 피해가 발생할 수 있습니다.

따라서 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근을 삼가하시고, 검증되지 않은 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부 검사를 수행해주시기 바랍니다.

현재 알약에서는 관련 샘플을 'Spyware.Noon.gen'로 진단하고 있습니다.

+ 추가

견적서를 위장한 악성 메일이 끊임없이 유포되고 있습니다. 

[그림 9] 첨부파일이 깨져서 유포된 악성메일

이번에 발견된 메일들 역시 이 전의 악성 메일들처럼 지방 관련 회사들을 위장하여 유포되고 있지만, 이전과는 다르게 첨부파일 링크가 깨져서 유포되고 있습니다.  

하지만 해당 링크를 클릭하면 첨부된 악성코드가 정상적으로 다운로드 됩니다. 

[그림 10] 링크 클릭 시 내려오는 악성파일 중 일부

알약에서는 이번에 발견된 악성코드 역시 Spyware.Noon.gen로 탐지중에 있습니다. 

견적서를 위장한 악성 이메일은 올해 3월 경부터 꾸준히 발견되고 있으며, 최근 들어서 그 빈도가 점점 늘어나고 있습니다. 

또한 견적서 이외에 상품구매, 화물운송, 무역 등 기업 담당자들의 호기심을 자극하는 키워드들을 포함시켜 클릭률을 높이려 시도하는 만큼 기업 사용자들의 특별한 주의가 필요합니다. 

이스트시큐리티에서는 유사한 종류의 악성 이메일의 유포 빈도가 잦아짐에 따라 모니터링을 강화하고 있습니다.