상세 컨텐츠

본문 제목

"코로나19 바이러스" 이슈를 악용한 악성코드 주의(3)

악성코드 분석 리포트

by 알약(Alyac) 2020. 3. 10. 08:24

본문



안녕하세요. ESRC(시큐리티 대응센터)입니다.


코로나19 바이러스 이슈와 관련된 악성 메일이 끊임없이 유포되고 있습니다. 





이번에 발견된 악성 메일은 WHO(World Health Organization)를 위장하고 있으며, Coronavirus Updates라는 제목으로 유포됩니다.



[그림 1] 코로나 바이러스 이슈를 악용한 악성 메일



메일 본문에 SNS 아이콘이 포함되어 있는데, 해당 아이콘들을 클릭하면 실제 WHO(World Health Organization)의 공식 SNS 계정으로 연결됩니다. 


해당 메일에는 ATT00001.zip 파일이 첨부되어 있는데, 해당 압축파일 안에는 MyHealth라는 이름의 실행파일(.exe)이 포함되어 있습니다. 



  [그림 2] 악성메일에 포함된 첨부파일



만약 사용자가 ATT00001.zip 첨부파일안에 있는 MyHealth.exe 파일을 실행하면 공격자가 사전에 세팅해 둔 구글 드라이브에 접속하여 인코딩된 파일을 다운받은 후 디코딩하고  정상 프로세스에 인젝션하여 악성 행위를 수행합니다. 


최종적으로 실행되는 코드는 Formbook 악성코드로, 사용자 PC에서 스크린샷 화면, host 파일정보, 브라우저 정보(Internet Explorer, Firefox, opera, outlook, thunderbird) 등을 수집하여 C&C 서버로 전송합니다. 



[그림 3] 정보탈취코드


현재 알약에서는 해당 악성코드에 대해 Trojan.Agent.FormBook으로 탐지중에 있습니다. 


코로나바이러스 이슈를 악용한 공격이 지속되고 있는 만큼, 이메일 첨부파일을 열어보거나 이메일에 포함된 링크를 클릭할 때 반드시 주의를 기울이시기를 권고 드립니다.




관련글 더보기

댓글 영역