국내 금융사를 위장하여 유포중인 악성 메일 주의!

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

국내 금융사를 위장하여 악성 메일이 지속적으로 유포되고 있어 사용자들의 주의가 필요합니다. 

이번에 유포된 악성 메일은 "외화송금도착 통지"라는 제목으로 유포되었으며, 발신자 계정을 @etri.re.kr(전자통신연구원) 계정으로 위장하여 사용자들의 의심을 피하려고 합니다.

 

또한 첨부파일을 확인해야만 하는 보안 메일을 위장하여 사용자들의 첨부파일 실행을 유도합니다. 

 

[그림 1] 외환송금통지 제목으로 유포되고 있는 악성 메일

 

 

첨부파일은 .r03 확장자로 압축파일입니다. 해당 확장자는 WinRAR로 생성된 압축파일의 세 번째 파일을 뜻하며, WinRAR이 아닌 다른 압축 프로그램을 사용중이라면 해당 파일이 압축파일이라는 것을 인지하지 못할수도 있습니다. 

 

압축파일 내에는 악성 .exe 파일이 포함되어 있습니다.

 

[그림 2] 악성 메일에 첨부되어 있는 압축파일

 

 

해당 악성코드는 NanoCoreRAT(Remote Administration Tool) 악성코드로 사용자 PC의 원격제어를 목적으로 하며, 키로깅, 스크린샷 캡처, 계정정보 탈취 등의 다양한 악성 기능을 수행합니다.

 

분석 결과, 해당 악성 메일의 발신 IP는 최근 금융사를 위장하여 유포되는 악성 메일의 발신 IP와 동일한 대역대로 동일한 공격자의 소행으로 추정됩니다. 

 

 

[그림 3] 이전에 유포되었던 유사한 형태의 악성 메일

 

 

이스트시큐리티는 이와 관련하여 이미 포스팅을 작성한 적이 있습니다.

 

▶ 국내 유명은행 보안메일을 사칭한 RemcosRAT 악성 이메일 주의!!

 

 

이번 악성 메일이 기존과 다른 점은, 첨부파일 이름이 기존의 Secure mail.cab에서 KB_20210729.r03로 변화하였으며, 유포하는 악성코드가 RemcosRAT 악성코드에서 NanoCoreRAT 악성코드로 변화하였습니다. 

 

 

[그림 4] 악성코드 중 일부 코드

 

최근 이와 같이 국내 금융사 보안메일을 위장한 형태의 유사한 악성 메일이 지속적으로 유포되고 있어 사용자들의 각별한 주의가 필요합니다. 

 

사용자 여러분들께서는 출처가 불분명한 사용자에게서 온 메일의 열람을 지양하시기를 바라며, 파일 확장명 숨김 해제를 통해 항상 확장자명을 확인하시는 습관을 길러야 합니다.

 

 

[그림 5] 파일 확장명 숨김 설정 해제

 

 

현재 이스트시큐리티 알약에서는 해당 악성코드에 대해 Backdoor.RAT.MSIL.NanoCore로 탐지 중에 있습니다.