국내 유명은행 보안메일을 사칭한 RemcosRAT 악성 이메일 주의!!

 

 

안녕하세요. ESRC(시큐리티 대응센터)입니다.

최근 국내 유명 은행 보안메일을 사칭한 악성 이메일이 발견되어 사용자들의 주의가 필요합니다.

이번에 발견된 메일은 "보안메일"이라는 제목을 사용하며, 실제 해당 은행에서 보내는 보안메일과 유사하게 제작되었습니다.

 

 

[ 그림 1] 은행 보안메일 사칭 악성 이메일

 

 

보안메일 프로그램처럼 보이는 첨부 파일은 “PDF 문서 아이콘”으로 위장하여 사용자가 다운로드하여 실행 시 악성 행위를 시작합니다.

 

 

[ 그림 2] 첨부파일 내부 화면

 

 

악성파일은 Remcos Rat 1.7 Pro 버전으로 확인되었으며 진단을 우회하기 위해 .NET을 이용하였으나, 내부 악성 모듈을 추출하면 버전 정보가 하드코딩되어 있습니다.

 

 

[ 그림 3] 하드코딩 된 Remcos Rat 버전 정보

 

 

Remcos 악성코드는 명령제어 악성코드로, C&C 통신 이후 공격자 명령에 따라 다음과 같은 기능을 수행합니다.

 

명령어	설 명
filemgr, upload, rename, deletefile, downloadfromurltofile	파일관리 (업로드, 다운로드, 파일명변경, 파일삭제)
regopened, regcreatekey, regeditval, regdelkey, regdelval, regopen, initregedit	레지스트리 관리(값 및 키 추가, 편집, 이름 바꾸기, 삭제)
getproclist, prockill	프로세스 관리 (프로세스 리스트 및 종료)
keyinput	키로깅
consolecmd, execcom, cmdoutput, sendfiledata	셸 명령 실행 및 결과 업로드
scrcap	화면 스크린샷
OSpower	시스템 종료 및 재시작

 

 

이외에도 사용자 PC에 동작 중인 브라우저(Internet Explorer, Chrome, Firefox)의 쿠키 데이터와 로그인 정보를 수집합니다.

 

 

[그림 4] 브라우저 정보 탈취 기능

 

 

현재 알약에서는 해당 악성코드에 대해 Backdoor.Remcos.A 로 탐지 중에 있으며, 관련 IoC는 Threat Inside에서 확인하실 수 있습니다.