법원 명령으로 위장한 악성 메일 유포 주의

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

 

최근 악성 파일 아이콘이 “터키” 국기 모양을 하고있는 ‘법원 명령’ 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다.

  

※ 관련글보기

▶ 또 다시 등장한 비너스락커 위협조직, 2018 연말정산 시즌 겨냥!

▶ 독특한 스타일의 피싱 메일 주의!

▶ 암호를 입력해야만 작동하는 악성 매크로 파일 주의!

▶ 악성 매크로가 포함된 수수료 관련 악성 메일 주의!

이번에 발견된 악성 메일은 법원 명령에 관련된 내용으로 첨부 파일의 실행을 유도합니다.

[그림 1] 수신된 메일

첨부 파일 ‘S12FG803.zip’ 에는 실행 파일인 ‘S12FG803.exe’ 파일이 담겨져 있습니다.

[그림 2] 첨부된 ‘S12FG803.zip’ 파일

 

특이하게도 악성 파일의 아이콘은 “터키” 국기 모양입니다.

 

 [그림 3] 터기 국기 아이콘 파일

만약 이용자가 자세한 정보를 열람하기 위해 해당 파일을 실행할 경우, 사용자 PC정보, 브라우저 히스토리 목록, 코인 지갑 정보(Electrum, Electrum-LTC, Ethereum, Exodus, Jaxx, MultiBitHD) 등 다양한 정보를 탈취 한 후 C&C서버(http://ms22-hinet.tk/arthur/index.php)로 전송합니다.

 

[그림 4] 사용자 정보 수집 코드

 

따라서 사용자 여러분들께서는 출처가 불분명한 사용자에게서 온 이메일에 포함된 하이퍼링크 혹은 첨부파일 클릭을 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다. 

 

알약에서는 해당 샘플들에 대하여 ‘Spyware.Infostealer.Azorult’으로 탐지중에 있습니다.