견적 문의로 위장해 악성 파일을 유포하는 피싱메일 주의

안녕하세요.? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

2019년 7월 24일, 견적 문의로 위장하고 악성 파일을 첨부한 피싱메일이 발견되었습니다.

피싱 메일에 첨부된 대용량 파일은 "문의해요.egg"라는 이름으로 유포되었으며, 메일 본문에 "확인좀 바랍나다"라는 문구로 급하게 일처리가 필요한 것처럼 꾸몄습니다.

[그림 1] 견적 문의 메일로 위장한 피싱 메일

견적 문의로 오해한 사용자가 첨부된 EGG 파일을 다운로드하면 해당 파일 안에는 아래와 같은 악성 EXE 파일이 들어 있습니다. 또한 "정선애"라는 발신자명을 사용한 것이 특징입니다.

[그림 2] "문의해요.egg" 압축 파일 안의 악성 실행 파일

압축 파일을 해제해 보면, 실제 악성 파일 확장자는 EXE 실행 파일이지만 파일 아이콘을 엑셀 아이콘으로 만들어 엑셀 문서인 것처럼 속이려 시도했습니다.

[그림 3] "문의해요.exe" 악성 실행 파일

FileName	MD5
문의해요.exe	F5300A0AB844CF44451FB102E20D6F5F

악성 프로세스 상세 분석

 

1. 키로깅   

 

실행 중인 프로세스 창 이름, 입력한 키를 레지스트리 'HKCU\Software\648352afc564c5386f1cb69b541851f2'의 '[kl]' 값에 저장합니다. 아래는 저장되는 키로깅 데이터입니다.

 

[그림 4] 레지스트리에 키로깅 데이터를 저장하는 코드

 

2. 정보 전송

 

위에 저장된 키로깅 데이터는 공격자의 C&C(114.207.133.76:2088)으로 전송됩니다. 전송된 항목에는 컴퓨터 이름, 사용자 이름, 감염 시간, OS 정보, 현재 실행 중인 프로그램 이름 등이 있습니다.

 

[그림 5] C&C 연결 화면

 

[그림 6] 정보 수집 코드

 

3. 봇 기능 

 

이 악성 프로세스는 사용자 정보 전송 이후, 봇 기능을 수행하며, 주요 봇 기능에는 ‘다운로더’, ‘키로깅 데이터 전송’이 존재합니다. 봇 기능 중 다운로더 코드는 아래와 같습니다.

 

[그림 7] 봇 기능 중 다운로더 코드

알약에서는 해당 악성코드에 대해 Trojan.MSIL.Disfa 로 탐지중입니다.