포스팅 내용

악성코드 분석 리포트

"코로나19 바이러스" 이슈를 악용한 악성코드 주의(2)



안녕하세요. ESRC(시큐리티 대응센터)입니다.


이스트시큐리티에서는 '코로나19' 내용의 악성코드에 대해 여러차례 주의를 당부드리고 있습니다.



 


하지만 '코로나19' 이슈를 악용한 악성코드, 악성메일, 악성 앱들이 지속적으로 등장하고 있습니다. 


이러한 악성코드는 국내 뿐만 아니라 해외에서도 대량으로 유포중에 있어 사용자들의 각별한 주의가 필요합니다. 



[그림 1] "coronavirus" 키워드를 포함하고 있는 악성 이메일들


유포되고 있는 악성 메일들의 경우 "coronavirus" 키워드를 포함하고 있는것을 확인할 수 있습니다. 


우리는 이번에 발견된 악성메일들 가운데, 미국 질병통제예방센터(CDC)를 사칭하고 있는 이메일에 대해 분석해 보았습니다. 


해당 이메일에는 코로나 바이러스에 관한 조치방법과 관련된 내용과 함께 첨부파일이 포함되어 있습니다. 첨부파일을 다운받아 압축을 풀어보면, 다음과 같이 화면 보호기 파일(SCR)로 위장한 실행 파일이 있습니다. 



[그림 2] scr 확장자를 가진 악성 파일



ESRC에서는 해당 파일이 CVE-2017-11882 취약점을 이용하여 유포되었던 Remcos RAT의 최신버전(v2.5.0 pro)이 포함된 것으로 확인하였습니다. 



[그림 3] REMCOS v2.5.0 Pro 값을 포함한 악성 코드



만약 사용자가 첨부되어있는 scr 파일을 실행한다면 RAT에 감염이 되고, 사용자가 입력하는 키값,저장된 주요 데이터 등의 정보 탈취는 물론 웹캠과 마이크 캡쳐까지 가능하며, 공격자가 원격에서 감염된 PC를 마음대로 다룰 수 있게 되기 때문에 주의를 기울여야 합니다.



[그림 4] Remcos RAT



현재 알약에서는 해당 악성코드에 대해 Backdoor.Remcos.A으로 탐지중에 있습니다.


사용자여러분들께서는 출처가 불분명한 발신자에게서 온 이메일 첨부파일 실행을 최대한 지양해주시고, 알약과 같은 신뢰할 수 있는 백신을 사용하시기 바랍니다. 


'코로나19'의 감염자가 급속도로 늘어나고 있습니다. 건강 유의하시고 '코로나19'에 감염되지 않도록 외부 및 단체활동은 최대한 지양하시는 것을 권고드립니다. 



  1. 포우_ 2020.02.26 13:25 신고  수정/삭제  댓글쓰기

    진짜 세상에네요.. 뭐 원래 악성코드나 악의적으로 수익을 올렸겠지만...
    자꾸 이렇게 나쁜 상황까지도 이용해서 저렇게 하다니..
    코로나 확진자가 다녀간 가게의 영수증도 따로 판매되고 있다던데... 비정상적인 사람들이 너무 많네요..

티스토리 방명록 작성
name password homepage