포스팅 내용

국내외 보안동향

‘코로나바이러스에 노출되었다’며 악성 코드 배포하는 피싱 공격 성행

Phishing Attack Says You're Exposed to Coronavirus, Spreads Malware


지역 병원에서 보낸 이메일로 위장하여 코로나 바이러스에 노출 되어 테스트가 필요하다고 속이는 새로운 피싱 캠페인이 발견되었습니다.


공격자는 지역 병원의 이메일로 위장하여 수신자가 코로나 바이러스 확진 판정을 받은 직장 동료, 친구, 가족과 접촉했다고 속였습니다.


그 후 수신자에게 첨부된 EmergencyContact.xlsm 파일을 인쇄하여 가까운 응급 진료소로 가져가도록 지시합니다.



<코로나바이러스를 주제로 사용하는 피싱 이메일>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/phishing-attack-says-youre-exposed-to-coronavirus-spreads-malware/>



이메일의 내용은 아래와 같습니다.



Dear XXX

 

You recently came into contact with a colleague/friend/family member who has COVID-19 at  Taber AB, please print attached form that has your information prefilled and proceed to the nearest emergency clinic.

 

Maria xxx

The Ottawa Hospital General Campus

501 Smyth Rd, Ottawa, ON K1H 8L6, Canada



사용자가 첨부파일을 오픈할 경우 보호된 문서를 열람하려면 ‘콘텐츠 사용’ 버튼을 누를 것을 요구하는 내용이 표시됩니다.



<악성 첨부파일>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/phishing-attack-says-youre-exposed-to-coronavirus-spreads-malware/>



사용자가 콘텐츠를 활성화할 경우 악성 매크로가 실행되어 시스템에 악성코드 실행파일을 다운로드 및 실행합니다.


이 실행 파일은 이제 정식 윈도우 msiexec.exe 파일에 수 많은 프로세스를 주입할 것입니다. 이는 실행 중인 악성코드의 존재를 숨기고 보안 프로그램을 우회하기 위한 것입니다.


BleepingComputer는 이 악성코드가 아래 행동을 수행한다는 것을 발견했습니다:


- 가상 화폐 지갑 검색 및 탈취 가능성

- 웹 브라우저 쿠키 탈취

- 시스템에서 실행 중인 프로그램 목록 얻기

- net view /all /domain 명령어를 통해 네트워크에서 오픈된 공유 검색

- 시스템에 구성된 로컬 IP 주소 정보 얻기


코로나 바이러스 관련 이메일을 받았을 경우 각별한 주의를 기울이고, 특히 첨부파일을 오픈하지 않는 것이 중요합니다.


대신 의심스러운 이메일 발신자의 전화번호를 직접 찾아 전화를 걸어 이메일의 내용이 사실인지 확인해야 합니다.


신뢰할 수 있는 코로나 바이러스 관련 정보는 낯선 첨부파일이 아닌 CDC, WHO 또는 지역 보건소 사이트를 방문하여 얻으시기 바랍니다.





출처 :

https://www.bleepingcomputer.com/news/security/phishing-attack-says-youre-exposed-to-coronavirus-spreads-malware/


티스토리 방명록 작성
name password homepage