포스팅 내용

악성코드 분석 리포트

공정 부적합 사례를 위장한 피싱 메일을 통해 유포되는 Loki Bot 주의!


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


금일 (2019년 06월 24일) 공정 부적합 사례 내용으로 위장하고 국내 중소기업을 사칭한 악성 이메일이 유포된 정황이 포착되었습니다.


이번에 발견된 피싱 메일에는 특이하게, 메일 제목에 "봉개, 한림, 서귀포"라는 제주도의 지역명을 사용했습니다.


[그림 1] 공정 부적합 사례를 위장한 피싱 메일


해당 메일을 받은 사용자가 첨부된 대용량 파일의 내용을 확인하기 위해 클릭하면 다음과 같이 악성 ACE 파일 및 ZIP 파일이 다운로드 됩니다.


[그림 2] 피싱 메일에 첨부된 대용량 파일 다운로드 화면


다운로드한 ACE 파일 및 ZIP 파일을 압축 해제하면 아래의 악성 실행 파일을 확인하실 수 있습니다. 


[그림 3] 압축 파일 안의 악성 실행 파일 화면


만약 사용자가 해당 악성 실행 파일을 공정 부적합 사례 내용으로 착각해 클릭할 경우, 악성 파일이 실행됩니다.


악성 파일은 %temp% 경로 아래에 \dawesdfds\ 이름으로 폴더를 생성한 후 dawesdfds.vbs 파일과 자가 복제된 dawesdfds.exe 파일을 실행합니다.


[그림 4] dawesdfds.vbs 코드


최종적으로 실행되는 악성코드는 Loki Bot으로 사용자 PC 정보와 함께 웹 브라우저, FTP 프로그램 등에 저장해 놓은 계정 비밀번호를 수집 및 탈취합니다. 


수집된 정보들은 공격자의 C&C 서버(http://plutonav.ru/emmatha/Panel/fre[.]php - 161.117.85[.]207)로 전송됩니다. 


현재 알약에서는 해당 악성파일에 대해 ''Backdoor.Androm.gen"으로 탐지 중에 있습니다.




티스토리 방명록 작성
name password homepage