상세 컨텐츠
본문
안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
2019년 07월 09일, 견적 의뢰로 위장한 악성 이메일이 유포된 정황이 포착되어 사용자들의 각별한 주의가 필요합니다.
[그림 1] 견적 요청 자료로 위장한 악성 메일
이번에 발견된 피싱메일은 견적서 의뢰 메일과 거의 동일한 형식으로 작성되었으며, 특정 기업의 정보를 그대로 도용하였습니다.
악성 피싱 메일에는 '견적 품목 리스트.rar'이라는 RAR 파일이 첨부되어 있으며, 메일을 받은 사용자가 견적 품목 파일로 착각해 압축 파일을 해제하면 아래와 같은 악성 실행 파일을 확인하실 수 있습니다.
[그림 2] RAR 파일 안의 악성 실행파일
File Name |
MD5 |
pi.exe |
C3556114FF55BF6965B0BD4605F2044B |
해당 악성파일을 실행하면, svcfile 폴더 밑에 악성 VBS 파일 및 실행파일을 생성합니다.
[그림 2] 악성 실행파일 및 VBS 파일
File Name |
MD5 |
svcfile.exe |
C3556114FF55BF6965B0BD4605F2044B |
svcfile.vbs |
EFDAE764D316C3F4998B90258CEEE841 |
이번에 발견된 악성 실행파일은 정상 프로세스에 악성코드를 인젝션한 후 사용자 PC의 정보를 탈취하는 기능을 수행합니다.
따라서, 출처가 불분명한 사용자에게서 온 메일인 경우 메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다.
현재 알약에서는 해당 악성 파일에 대해 'Trojan.Agent.Wacatac'으로 탐지 중에 있습니다.
'악성코드 분석 리포트' 카테고리의 다른 글
| [주의] 공정거래위원회 사칭한 악성 메일로 소디노키비 랜섬웨어 유포 중! (0) | 2019.07.11 |
|---|---|
| 웹페이지에서 사용자 메일과 비밀번호 정보를 탈취하는 스피어 피싱 주의! (0) | 2019.07.10 |
| Trojan.Android.JSCoinMiner 분석보고서 (0) | 2019.07.04 |
| 사용자 개인정보를 노리는 서울중앙지방검찰청 사칭 피싱 사이트 주의!! (0) | 2019.07.04 |
| 암호화폐 거래자를 노린 Lazarus APT 공격 가속화 (0) | 2019.07.02 |
댓글 영역