수입필증 및 정산서로 위장한 피싱메일 주의!

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

금일(2019년 07월 01일), 수입필증 및 정산서로 위장한 악성 피싱메일이 유포된 정황이 포착되어 사용자들의 각별한 주의가 필요합니다.

[그림 1] 수입필증 및 정산서를 위장한 악성 피싱메일

해당 메일에는 수입신고필증(수입면장) 및 정산서 메일인 것처럼 속이기 위해 관련 이미지를 첨부했으며, 사용자의 파일 클릭을 유도했습니다.

첨부된 이미지는 화질이 낮아 그림만으로 상세 내용은 확인하기 어렵지만 실제 이미지와 비슷한 형식 및 도장이 날인되어 있어 면밀히 살펴보지 않는다면 쉽게 속을 가능성이 높습니다.

만약 사용자가 해당 첨부파일의 이미지를 수입신고필증(수입면장) 및 정산서로 착각해 클릭한다면, 이미지에 걸려있는 링크로 연결되며 악성 파일을 드롭하는 js 파일이 포함된 zip 파일을 다운로드합니다.

[그림 2] 이미지에 삽입된 링크를 통해 다운로드되는 악성파일

악성링크 상세 정보:

- https://onedrive.live[.]com/download?cid=38E0B3EEDCE2BCBD&resid=38E0B3EEDCE2BCBD%21167&authkey=ANi_TPpYR3ixRI8

다운로드된 파일을 확인하기 위해 압축 해제하면 아래와 같은 EOC00004.js 파일이 들어있습니다.

[그림 3] 압축파일 안의 JS 파일

EOC00004.js 파일 내부에는 분석을 방해하기 위한 가비지(Garbage) 코드들이 존재하며, 디코딩 시 내부에 존재하는 특정 데이터를 Base64로 디코딩 하여 TEMP 폴더에 "BioLtH.zip" 파일로 생성한 후 사용자에게 보여줍니다.

[그림 4] js 파일 안의 가비지 코드

[그림 5] js 파일로 생성된 zip 파일

생성된 zip 파일에는 악성이 의심되는 행위를 수행하는 scr 파일이 들어있습니다. 이 scr 파일이 실행되면 프로세스에 코드를 인젝션 시키고, 자동 실행 레지스트리에 부팅 시마다 특정 파일이 실행되게 만듭니다.

[그림 6] 악성 행위를 수행하는 SCR 파일

FileName	MD5
EOC00004.js	62D2127E5A0AD623C82A56CE89144131

FileName	MD5
EOC00004.scr	BA39B9E34DFB3046D8383839E54FAA49

자세한 사항은 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.  

따라서 본인이 모르는 발신자로부터 온 메일의 경우 꼭 내용을 확인하시기 바라며, 조금이라도 의심이 들 경우 절대 첨부된 파일을 다운로드하거나 본문에 첨부된 링크 클릭을 지양해 주시기 바랍니다.

현재 알약에서는 해당 악성 파일에 대해 'Trojan.Dropper.JS.Agent, Trojan.Agent.963483C'으로 탐지 중에 있습니다.