상세 컨텐츠

본문 제목

사용자 PC 정보를 탈취하는 국내 중소기업 사칭 견적 요청 피싱 메일 주의!

악성코드 분석 리포트

by 알약(Alyac) 2019. 5. 13. 15:22

본문


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


금일(2019년 05월 13일) 오전 국내 조선사를 사칭한 견적 의뢰 요청 건이라는 피싱 메일이 유포되어 사용자들의 주의가 필요합니다.

 

[그림 1] 국내 조선사를 사칭한 피싱 메일 화면


해당 피싱 메일은 다음(daum) 도메인인 'hanmail.net'를 사용하였으며, 첨부된 대용량 파일이 아래 그림과 같이 링크를 통해 다운로드됩니다.


[그림 2] 악성 대용량 파일 다운로드 화면


메일에 첨부된 대용량 파일은 각각 ACE 압축 포맷과 ZIP 압축 포맷의 압축 파일이며 해당 파일을 압축 해제하면 PDF 파일을 위장한 악성 실행파일이 들어 있습니다.


[그림 3] 압축 파일 안의 악성 파일 화면


압축 파일 안에는 아래 그림과 같이 이중 확장자 형태(,pdf.exe)의 악성 파일이 들어 있습니다.


[그림 4] 이중 확장자 형태의 악성 파일 화면


메일을 받은 사용자가 해당 악성 파일을 견적요청 PDF 파일로 착각하여, 내용 확인을 위해 파일을 실행하면 다음과 같이 백그라운드에서 악성 프로그램이 실행됩니다.


[그림 5] 백그라운드에서 실행되는 악성 파일


백그라운드에서 실행되는 악성 파일은 피해자 PC의 CPU를 100% 가까이 사용하고 있다는 것을 확인하실 수 있습니다.


이 악성 프로그램의 주 목적은 정보 탈취이며 이를 통해 공격자에게 피해자의 정보를 전송합니다.


다음은 사용자 정보를 공격자의 C&C 서버로 전송하는 화면입니다.


[그림 6] 피해자의 정보를 공격자의 C&C 서버로 전송하는 화면


이와 관련된 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.


현재 알약에서는 해당 악성 파일에 대해 Trojan.Agent.1095808B으로 탐지 중에 있습니다.




관련글 더보기

댓글 영역