사내 남직원(?)을 타겟으로 하는 스피어피싱 주의

사내 남직원(?)을 타겟으로 하는 스피어피싱 주의

5월 14일, 사내 메일로 이력서 한 통이 도착했습니다. 

해당 이메일은 불특정 다수에게 전달되었으며, 일자리를 구한다는 내용과 함께 미모의 여성 사진을 첨부해 사내 남직원들의 클릭을 유도하고 있습니다.  

   

메일에 첨부된 파일에는 비밀번호가 설정되어 있으며 아래와 같은 파일들이 포함되어 있습니다.

분석 결과, 해당 파일들은 2015년 5월 8일에 제작된 것으로 게임 클라이언트를 위장하고 있습니다. 또한 유효한 중국의 디지털 서명이 포함되어 있으며 UPX로 압축된 것처럼 치밀하게 섹션을 조작해 놓았습니다. gameclient.exe 파일과 gamesvr.exe 파일을 실행하면 임시 경로(Temp)에 gameclient亶匡11.exe, serverup.exe 등의 파일을 생성하며 다음과 같은 정상화면을 사용자에게 보여줍니다.

gameclient.exe 실행 시 뜨는 정상 화면

gamescr.exe 실행 시 뜨는 정상 화면

또한, dll 모듈을 생성한 뒤 홍콩의 서버로 접속하여 외부 명령을 대기합니다.

이러한 스피어 피싱의 위협에서 벗어나기 위해서는 낯선이에게서 온 첨부파일을 클릭하지 않는 습관을 길러야 합니다. 더불어 김수현 혹은 수지와 닮은 사람의 사진이 와도 과감히 [닫기] 버튼을 누를 수 있는 강인한 정신력 또한 필요합니다.

현재 알약에서는 해당 악성코드를 Trojan.Agent.spear.610304로 탐지하고 있습니다.