'비정상적인 로그인 알림'으로 위장한 악성 메일 주의!!

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

 

최근 등록되지 않은 IP에서 로그인 된 정황이 발견되어, 로그인 시도 활동 및 안전한 이메일을 확인하기 위해 클릭하라는 악성 메일이 유포되고 있어 사용자들의 주의가 필요합니다.

특히 이번 메일은 매스 메일링(Mass-Mailing)기법을 사용하여 약 85명의 불특정 다수에게 메일이 전달 되었습니다.

[그림1] 로그인 확인으로 위장 된 이메일 화면

 

사용자가 비정상적인 로그인 시도를 체크하기 위해 본문에 기재 된 링크를 클릭 시 아래의 주소에서 압축파일을 다운로드 받게 됩니다.

파일 다운로드 주소 : https://www.dropbox.com/s/***************/unusual_logins_to_mail_accounts.zip?dl=1

[그림2] 다운로드 된 압축 파일 내부 화면

 

압축파일에는 악성 실행파일(unusual_logins_to_mail_accounts.exe)이 존재하였으며, 해당 파일을 실행 시킬 경우 “Loki Bot” 악성코드가 실행됩니다.

 

“Loki Bot” 악성코드는 사용자의 PC정보와 웹 브라우저, FTP 프로그램, 메일 프로그램, 쉘 접속 프로그램 등 사용자가 저장 해 놓은 계정 및 패스워드를 수집하고 특정 서버로 전송 합니다.

[그림3] FTP 프로그램에 저장 된 정보 탈취 코드

 

[그림4] 웹 브라우저에 저장 된 정보 탈취 코드

 

수집 된 사용자의 정보들은 아래의 주소로 전송합니다.

- C&C 주소 : http://marsnav.ru/java3/Panel/fre.php

- C&C IP : 47.254.177.155

[그림5] 수집 된 정보를 전송하는 C&C주소 화면

 

악성코드 감염에 의해 시스템 정보 및 웹 브라우저, FTP, 쉘 접속 프로그램 등의 계정과 비밀번호가 유출 되었다면 그 데이터를 이용하여 2차 피해가 발생할 수 있습니다.

 

따라서 출처가 불분명한 메일에 있는 링크에 대해 접근을 삼가 하시고, 검증되지 않은 파일을 실행 할 시에는 백신 프로그램을 이용하여 악성 여부 검사를 수행해 주시기 바랍니다.

이와 관련된 IoC(침해 지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.

현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 개인정보 수집 C&C를 아래와 같이 탐지하고 

있습니다.

[그림6] ESTSecurity-Threat Inside 개인정보 수집 사이트 탐지 화면

 

또한 알약에서도 관련 샘플을 ‘Spyware.InfoStealer.FTP’ 로 진단하고 있습니다.