사용자 PC 정보를 탈취하는 국내 중소기업 사칭 견적 요청 피싱 메일 주의!

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

금일(2019년 05월 13일) 오전 국내 조선사를 사칭한 견적 의뢰 요청 건이라는 피싱 메일이 유포되어 사용자들의 주의가 필요합니다.

 

[그림 1] 국내 조선사를 사칭한 피싱 메일 화면

해당 피싱 메일은 다음(daum) 도메인인 'hanmail.net'를 사용하였으며, 첨부된 대용량 파일이 아래 그림과 같이 링크를 통해 다운로드됩니다.

[그림 2] 악성 대용량 파일 다운로드 화면

메일에 첨부된 대용량 파일은 각각 ACE 압축 포맷과 ZIP 압축 포맷의 압축 파일이며 해당 파일을 압축 해제하면 PDF 파일을 위장한 악성 실행파일이 들어 있습니다.

[그림 3] 압축 파일 안의 악성 파일 화면

압축 파일 안에는 아래 그림과 같이 이중 확장자 형태(,pdf.exe)의 악성 파일이 들어 있습니다.

[그림 4] 이중 확장자 형태의 악성 파일 화면

메일을 받은 사용자가 해당 악성 파일을 견적요청 PDF 파일로 착각하여, 내용 확인을 위해 파일을 실행하면 다음과 같이 백그라운드에서 악성 프로그램이 실행됩니다.

[그림 5] 백그라운드에서 실행되는 악성 파일

백그라운드에서 실행되는 악성 파일은 피해자 PC의 CPU를 100% 가까이 사용하고 있다는 것을 확인하실 수 있습니다.

이 악성 프로그램의 주 목적은 정보 탈취이며 이를 통해 공격자에게 피해자의 정보를 전송합니다.

다음은 사용자 정보를 공격자의 C&C 서버로 전송하는 화면입니다.

[그림 6] 피해자의 정보를 공격자의 C&C 서버로 전송하는 화면

이와 관련된 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.

현재 알약에서는 해당 악성 파일에 대해 Trojan.Agent.1095808B으로 탐지 중에 있습니다.

※ 관련글 보러가기

▶ [주의] 국내 중소기업을 사칭한 견적 요청의 피싱 메일 유포 중! (2019.04.24)