포스팅 내용

악성코드 분석 리포트

납품 견적 의뢰서를 사칭한 정보 탈취 악성코드 주의!


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 납품 견적 의뢰 건을 사칭한 악성 메일이 유포되고 있어 이용자들의 주의를 당부드립니다.


해당 메일은 국문 및 영문으로 유포되었으며, 첨부파일로 ACE, RAR, ZIP 파일의 압축파일을 첨부한 것이 특징입니다.


[그림 1] 납품 견적 의뢰 건을 사칭한 악성 메일(국문)



[그림 2] 납품 견적 의뢰 건을 사칭한 악성 메일(영문)



두 메일을 비교해 보면, 메일 제목이나 첨부파일 형식이 동일하며 먼저 영문으로 납품 견적 의뢰 건을 사칭한 악성 메일이 유포된 후, 하루 차이로 국문 메일이 포착되었습니다.


또한 메일 분석 결과, 해당 악성 메일을 유포한 제작자가 '소재헌', 'Shinhwa Construction Co., Ltd'로 동일해, 같은 조직이 유포한 것으로 추측할 수 있었습니다.


해당 악성 메일의 첨부 파일들을 압축 해제하면 모두 PDF 파일을 사칭한 악성 EXE 파일을 확인하실 수 있습니다.



[그림 3] 첨부된 ACE, RAR, ZIP 파일 안의 악성 EXE 파일



File Name

MD5

REV-PO#9890-DOC-NO12-Contract,pdf.exe

12841b6622304cd4a8686ff33cb46d0c

New-Order-PO38686878-Contract,pdf.exe

115fbf643c58be55a824e8fe863ce3fd



만약 이용자가 견적 의뢰에 대한 자세한 정보를 열람하기 위해 해당 파일을 실행할 경우, C:\Users\[사용자계정] 아래 경로에 ‘formemememem’ 폴더를 생성하고, 폴더 하위에 ‘formemememem.exe’와 ‘formemememem.vbs’ 파일을 생성합니다.


‘formemememem.exe’는 자가 복제된 악성 파일이고, ‘formemememem.vbs’는 자동 실행 레지스트리에 ‘formemememem’ 값으로 자기 자신(formemememem.vbs) 등록 및 자가 복제된 ‘formemememem.exe’ 악성 프로그램을 실행하는 악성 스크립트입니다.



[그림 4] 'formemememem.vbs' 실행 코드

 


'formemememem.vbs' 코드는 다음과 같습니다.



[그림 5] 'formemememem.vbs'



최종적으로 실행되는 프로세스(formemememem.exe)는 FormBook 악성코드로 정보 탈취 기능 등을 수행합니다.


현재 알약에서는 해당 악성코드에 대해 Trojan.Agent.FormBook으로 탐지 중에 있습니다.




  1. 안테나곰 2019.07.27 02:23 신고  수정/삭제  댓글쓰기

    무심코 열어서 감염되지 않게 바이러스 백신으로 예방하는 것이 좋을 것 같아요!

티스토리 방명록 작성
name password homepage