포스팅 내용

악성코드 분석 리포트

견적서 의뢰로 위장한 정보 탈취 악성코드 주의!



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


2019년 07월 09일, 견적 의뢰로 위장한 악성 이메일이 유포된 정황이 포착되어 사용자들의 각별한 주의가 필요합니다.



[그림 1] 견적 요청 자료로 위장한 악성 메일



이번에 발견된 피싱메일은 견적서 의뢰 메일과 거의 동일한 형식으로 작성되었으며, 특정 기업의 정보를 그대로 도용하였습니다.


악성 피싱 메일에는 '견적 품목 리스트.rar'이라는 RAR 파일이 첨부되어 있으며, 메일을 받은 사용자가 견적 품목 파일로 착각해 압축 파일을 해제하면 아래와 같은 악성 실행 파일을 확인하실 수 있습니다.



[그림 2] RAR 파일 안의 악성 실행파일 



File Name

 MD5

 pi.exe

 C3556114FF55BF6965B0BD4605F2044B



해당 악성파일을 실행하면, svcfile 폴더 밑에 악성 VBS 파일 및 실행파일을 생성합니다. 



[그림 2] 악성 실행파일 및 VBS 파일



File Name

 MD5

 svcfile.exe

 C3556114FF55BF6965B0BD4605F2044B

 svcfile.vbs

 EFDAE764D316C3F4998B90258CEEE841



이번에 발견된 악성 실행파일은 정상 프로세스에 악성코드를 인젝션한 후 사용자 PC의 정보를 탈취하는 기능을 수행합니다.


따라서, 출처가 불분명한 사용자에게서 온 메일인 경우 메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다.


현재 알약에서는 해당 악성 파일에 대해 'Trojan.Agent.Wacatac'으로 탐지 중에 있습니다.




티스토리 방명록 작성
name password homepage