안녕하세요. ESRC(시큐리티 대응센터)입니다.
대표적인 클라우드 서비스 트레소리트(Tresorit)를 이용한 Formbook 악성파일이 유포 중인 정황이 발견되어 사용자들의 주의가 필요합니다.
이번에 발견된 악성메일은 "service@dropbox.com shared "Revised_Contract.pdf" to you via Dropbox" 이라는 제목으로 수신되었으며, 본문에 기재된 Dropbox 링크를 통해 허위 견적서 파일을 다운로드하도록 유도합니다.
메일 본문에 기재된 링크는 Dropbox가 아닌 Tresorit 서비스 링크로 연결되며, Formbook 악성 파일이 담긴 압축파일을 다운로드할 수 있습니다.
Contract_Signed_20219827304.zip 파일 내부에는 2개의 파일이 포함되며, 파일명만 다른 동일한 해쉬를 가진 파일입니다.
사용자가 압축 파일을 해제하여 실행할 경우, 시스템 정보, 브라우저 크리덴셜 정보, 현재의 화면 스크린샷, 시스템 종료/재시작, 추가 다운로드 기능들을 수행하는 Formbook 악성코드가 동작하게 됩니다.
Formbook은 정보 수집 및 명령 제어 기능을 수행하는 악성코드로 초기부터 현재까지 유사한 코드로 동작하고 있기 때문에 Formbook에 대한 상세 분석은 아래 링크에서 확인하실 수 있습니다.
이와 같이 출처가 불분명한 메일에 기재된 링크는 실행하지 않은 것이 좋으며, 백신의 실시간 감시를 사용하고, 정기적인 검사를 습관화하여야 합니다.
현재 알약에서는 'Trojan.Agent.FormBook' 탐지 명으로 탐지 중입니다.
Spyware.Lokibot 악성코드 분석 보고서 (0) | 2021.04.19 |
---|---|
ESRC 주간 Email 위협 통계 (4월 첫째주) (0) | 2021.04.13 |
ESRC 주간 Email 위협 통계 (3월 다섯째주) (0) | 2021.04.06 |
지속적으로 유포되는 '입사지원서/이력서 위장 Makop 랜섬웨어' 메일 주의 (비너스락커 조직) (0) | 2021.04.02 |
"고객님의 계좌에서 결제." 제목으로 대량 유포되고 있는 혹스(Hoax) 메일 주의!! (0) | 2021.04.02 |
댓글 영역