포스팅 내용

악성코드 분석 리포트

납세서 송장으로 위장한 악성 이메일 유포 주의!


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


2019년 08월 05일, 납세서 송장으로 위장한 악성 이메일이 국내 기업에 복수적으로 전파된 정황이 포착되어 사용자들의 각별한 주의가 필요합니다.



[그림 1] 납세서 송장으로 위장한 악성 메일



이번에 발견된 악성 메일은 한국 도메인에서 발송되어 유포되고 있습니다.


피싱 메일에는 "첨부 된 납세서 송장보기"라는 내용으로 간단하게 작성되어 있으며, 마지막에는 "감사"라는 멘트로 보아 다소 어눌한 한국어 표현 사용한 것이 특징입니다.


또한, 악성 행위를 하는 실행파일을 포함한 RAR 파일을 첨부했는데, RAR 내부에 ISO 파일로 이중 압축하여 보안 기능을 최대한 회피하려 시도하였습니다.




[그림 2] RAR파일 안의 ISO 파일로 이중압축한 악성파일 화면



File Name

MD5

awele3884F.iso

C8537218583E44DB6C822B9AA7CD7D52

awele3884F.exe

9D721255CFE9CF45D35B50707422E755



악성코드 최종 기능은 Wacatac 계열의 봇(RAT)이며, 정상 프로세스에 악성코드를 인젝션한 후 사용자 PC의 정보를 탈취하는 기능을 수행합니다.


따라서, 출처가 불분명한 사용자에게서 온 메일인 경우 메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다.


현재 알약에서는 해당 악성 파일에 대해 'Trojan.Agent.368640B'으로 탐지 중에 있습니다.






티스토리 방명록 작성
name password homepage