포스팅 내용

악성코드 분석 리포트

세금 계산서를 사칭하고 이중으로 압축한 악성파일을 유포하는 공격 주의!



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


2019년 06월 24일, 세금 계산서를 사칭한 악성 이메일이 국내 기업에 다량으로 유포된 정황이 포착되어 사용자들의 각별한 주의가 필요합니다.



[그림 1] 세금 계산서를 사칭한 피싱 메일



이번에 발견된 피싱 메일은 어눌한 한국어로 본문이 작성되었으며, "tax@taesungmarine.com"이라는 발신자명을 사용하여 세금계산서 관련 담당자가 보낸 메일인 것처럼 꾸미려고 하였습니다.



 File Name 

 MD5

 19030#5630.zip

 b534f496ca813f0b5203364576fb2112



만약 해당 메일을 받은 사용자가 세금 계산서 관련 파일로 착각해 첨부된 ZIP 파일을 다운로드하고 압축 해제하면 다음과 같이 ISO 파일을 확인하실 수 있습니다.



 File Name 

 MD5

 19030#5630.iso

 79d7132845f47db0375b876230acf045




[그림 2] 첨부파일 안의 악성 ISO 파일



이번에 발견된 악성 파일은 iso -> zip 파일로 이중 압축하여, 백신 제품의 악성 파일 탐지를 우회하려고 시도하였습니다.


따라서 사용자가 ISO 파일 안의 내용을 확인하기 위해 ISO 파일을 다시 한번 압축 해제하면 아래와 같이 COM 실행 확장자를 사용하는 악성 파일을 확인할 수 있습니다.



 File Name 

 MD5

 세금 계산서.com

 ef41d37337032670dad59664e5a2f0b2



[그림 3] 첨부파일 안의 악성 ISO 파일



실행되는 악성코드는 Formbook 악성코드로 정상 프로세스 인젝션 후, 정보 탈취 기능을 수행합니다.  



[그림 4]  Formbook 악성코드 화면



따라서, 출처가 불분명한 사용자에게서 온 메일인 경우 메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다.


현재 알약에서는 해당 악성 파일에 대해 'Trojan.Agent.Wacatac'으로 탐지 중에 있습니다.





티스토리 방명록 작성
name password homepage