수상한 이메일을 통해 유포 중인 이모텟(Emotet) 악성코드 주의!

안녕하세요 

이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 

금일 수상한 이메일들이 대량으로 수신되어 사용자들의 주의가 필요합니다. 

[그림1] 수상한 메일 

해당 메일들의 본문은 모두 영문으로 연락을 하라는 내용과 함께 워드파일(.doc)이 첨부되어 있습니다. 

첨부된 악성문서파일을 실행하게 되면, 아래와 같은 안내를 사용자에게 보여주어 공격자가 심어 놓은 매크로를 실행시키도록 유도합니다.

[그림2] 매크로 실행을 유도하는 DOC 파일

매크로는 쓰레기 코드와 함께 파워쉘을 실행하는 코드를 포함하고 있습니다. 

[그림3] 악성 매크로가 포함된 워드 파일

파워쉘 실행 코드는 아래의 C&C서버 리스트 목록에 따라 순차적으로 접속하여 C&C서버에서 내려주는 파일을 감염된 로컬PC에 565.exe로 저장하고 실행합니다.

**파워쉘 코드에 의해 연결되는 C&C서버 목록

http://rcw-lb[.]com/ab9vk/aty0i/

http://blog[.]begumnazli[.]com/wp-content/9a6/

최종 다운로드 되는 페이로드는 Emotet 으로 추정되며 현재는 C&C에 연결이 되지 않아 다운로드 및 실행되지 않지만 만약 연결이 되면 추가 피해가 발행할 수 있기 때문에 사용자의 주의가 필요합니다. 

현재 알약에서는 Trojan.Downloader.DOC.Gen로 탐지중에 있으며, 관련하여 더 자세한 정보는 ThreatInside에서 확인하실 수 있습니다.