Emotet malware's new 'Red Dawn' attachment is just as dangerous
Emotet 봇넷이 악성 첨부파일에 새로운 템플릿을 사용하기 시작했습니다. 이 첨부파일은 이전 것들 보다 훨씬 위험한 것으로 나타났습니다.
Emotet 악성코드는 5개월의 공백기를 거친 후 2020년 7월 돌아와 전 세계적으로 엄청난 양의 악성 스팸을 배포하기 시작했습니다.
이 스팸 캠페인은 아래와 같이 인보이스, 배송 정보, 코로나19 정보, 이력서, 금융 관련 문서, 스캔된 문서 등으로 위장합니다.
<Emotet 스팸 이메일의 예>
<이미지 출처: https://www.bleepingcomputer.com/news/security/emotet-malwares-new-red-dawn-attachment-is-just-as-dangerous/>
이 이메일에는 악성 워드(.doc)파일이나 해당 파일을 다운로드하는 링크가 첨부되어 있습니다.
이 첨부파일을 열람할 경우 사용자에게 ‘콘텐츠를 활성화’하라는 알림이 표시됩니다. 이를 활성화하게 되면 악성 매크로가 실행되어 피해자의 컴퓨터에 Emotet 악성코드를 설치할 것입니다.
Emotet은 피해자가 매크로를 활성화하도록 속이기 위해 사용자들에게 해당 문서가 iOS에서 작성되었기 때문에 ‘콘텐츠 활성화’버튼을 클릭하지 않을 경우 제대로 표시되지 않을 것이라 속였습니다.
<이전 Emotet iOS 템플릿>
<이미지 출처: https://www.bleepingcomputer.com/news/security/emotet-malwares-new-red-dawn-attachment-is-just-as-dangerous/>
이 봇넷은 8월 25일 새로운 템플릿으로 변경했습니다. Emotet 전문가인 Joseph Roosen은 이 새로운 템플릿을 ‘Red Dawn’이라 명명했습니다.
Red Dawn 템플릿은 더 이상 iOS 테마를 사용하지 않으며, “이 문서는 보호되어 있습니다”라는 메시지를 표시하며 미리보기가 불가능하다는 메시지를 사용합니다.
<Emotet의 새로운 ‘Red Dawn’ 첨부파일>
<이미지 출처: https://www.bleepingcomputer.com/news/security/emotet-malwares-new-red-dawn-attachment-is-just-as-dangerous/>
이전 템플릿과 마찬가지로, 콘텐츠 활성화를 클릭할 경우 악성 매크로가 실행되며 피해자의 시스템에 Emotet 악성코드를 다운로드 및 설치합니다.
Emotet의 첨부파일을 꼭 알아두세요.
Emotet은 현재 가장 널리 확산되는 일반 사용자 타깃 악성코드입니다. 해당 공격을 통해 Trickbot이나 Qbot과 같은 다른 악성코드까지 설치할 수 있으므로 매우 위험합니다.
TrickBot과 QBot은 서로 다른 악성 공격을 실행하지만, 둘 모두 피해자의 컴퓨터에서 저장된 비밀번호, 쿠키, 은행 정보, 기타 정보를 훔칩니다.
이 두 트로이 목마는 네트워크 전체에 Conti(TrickBot) 또는 ProLock(QBot)과 같은 랜섬웨어를 설치하는 공격자에게 접근 권한을 제공하는 것으로 알려져 문제는 더욱 심각합니다.
따라서 실수로 감염될 확률을 줄이기 위해 Emotet의 악성 문서 양식을 알아두는 것이 좋습니다.
출처:
구글, 플레이스토어에서 악성 Terracotta 앱 다수 제거 (0) | 2020.09.01 |
---|---|
악성 npm 패키지, 민감 Discord 정보 및 브라우저 파일 훔치려 시도해 (0) | 2020.08.31 |
Qbot, 확산을 목적으로 피해자 이메일 스레드 훔쳐 (0) | 2020.08.28 |
새로운 정보 탈취 악성코드 아누비스, 실제 공격 통해 배포돼 (0) | 2020.08.28 |
DeathStalker 사이버 용병 그룹, 금융 부문 노려 (0) | 2020.08.27 |
댓글 영역