포스팅 내용

악성코드 분석 리포트

계산서를 사칭하여 유포되고 있는 악성메일 주의



안녕하세요 

이스트시큐리티 대응센터(ESRC)입니다. 


계산서 사칭 메일이 유포되고 있어 사용자들의 주의가 필요합니다. 



[그림 1] 계산서를 위장한 악성메일



계산서를 사칭한 이메일에는 단순한 지불해달라는 내용과 함께 워드 파일이 첨부되어 있습니다. 


사용자가 첨부되어 있는 워드 파일을 클릭하면 이미지 객체가 삽입되어 있는데, 매우 작은 이미지로 삽입되어 있으며, 'Double Click to View Documents'라는 문구로 사용자들의 클릭을 유도합니다.  



[그림 2] 이미지 객체가 삽입되어 있는 워드 파일



해당 이미지를 클릭하면 소프트웨어를 실행하시겠습니까라는 경고 문구가 뜹니다. (만약 사용자가 윈도우 기본 보안 설정 중 파일 실행 시 보안 경고를 해제했다면 경고창 없이 바로 악성 파일이 실행되게 됩니다.)



[그림 3] 이미지 객체 클릭 시 뜨는 경고화면



만약 사용자가 취소를 누르면 어떠한 피해도 받지 않지만, 사용자가 실행을 누른다면 악성코드가 실행되게 됩니다. 


실행된 악성코드는 사용자 PC에서 자가복제 및 등록, 키로깅, 디도스 공격, 랜섬웨어 등 다양한 악성 행위를 하게 됩니다. 


금일 발견된 악성 샘플과 관련된 자세한 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서도 확인하실 수 있습니다.


현재 알약에서는 해당 악성코드에 대해  'Trojan.Downloader.DOC.Gen, Trojan.Agent.293376C'로 탐지 중에 있습니다. 



티스토리 방명록 작성
name password homepage