포스팅 내용

악성코드 분석 리포트

후지코리아 사칭한 견적 의뢰서를 통해 유포되는 스파이웨어 LokiBot 주의!


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


금일(2019년 6월 18일) 후지코리아를 사칭한 견적 피싱메일이 유포된 정황이 확인돼, 사용자들의 각별한 주의가 필요합니다.


악성 피싱메일 유포자는 마치 후지 코리아 직원인 것처럼 사칭하여 견적 의뢰 관련 메일을 유포하였습니다.


[그림 1] 후지코리아 견적 의뢰서를 사칭한 피싱메일


공격자는 피싱 메일에 대용량 파일을 첨부하였으며, 사용자가 해당 파일을 견적 의뢰서로 착각해 파일을 클릭할 경우, 악성 파일이 다운됩니다.


악성 파일은 %temp%경로 아래에 \msngdvfadxa\ 이름으로 폴더를 생성한 후 msngdvfadxa.vbs 파일과 자가 복제된 msngdvfadxa.exe 파일을 드롭합니다.


[그림 2] msngdvfadxa.vbs 코드


최종적으로 실행되는 악성코드는 Loki Bot으로 사용자 PC 정보와 함께 웹 브라우저, FTP 프로그램 등에 저장해 놓은 계정 비밀번호를 수집 및 탈취합니다. 


다음은 웹 브라우저 및 FTP 프로그램에 저장된 아이디 및 비밀번호 정보를 탈취하는 코드입니다.


[그림 3] FTP 프로그램에 저장된 정보 탈취 코드


[그림 4] 웹 브라우저에 저장된 정보 탈취 코드


수집된 정보들은 C&C 서버(http://marsnav.ru/msn/Panel/fre.php – 47.254.177.155)로 전송합니다. 다음은 C&C로 전송되는 데이터의 일부입니다. 


[그림 5] C&C로 전송되는 데이터의 일부


악성코드 감염에 의해 시스템 정보 및 웹 브라우저, FTP에 저장된 아이디 및 비밀번호 정보 유출과 C&C에서 받아온 데이터에 따른 추가 악성 행위를 할 수 있어 피해가 발생할 수 있습니다.


따라서 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근을 삼가시고, 검증되지 않은 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부 검사를 수행해주시기 바랍니다.


현재 알약에서는 메일에 첨부된 악성 파일을 'Spyware.LokiBot'으로 진단하고 있습니다.




티스토리 방명록 작성
name password homepage