상세 컨텐츠

본문 제목

회계명세서, 견적문의 피싱 메일로 유포 중인 Lokibot 주의!

악성코드 분석 리포트

by 알약4 2021. 8. 18. 13:51

본문

 

 

안녕하세요. ESRC(시큐리티 대응센터)입니다.

회계명세서, 견적문의 피싱 메일을 통해 Lokibot 악성코드가 유포되고 있어 사용자들의 주의가 필요합니다. 

 

 

* Lokibot 
Lokibot은 인포스틸러 악성코드로 웹 브라우저, 메일 클라이언트, FTP 클라이언트 등 감염 PC에 설치된 다양한 프로그램들에서 크리덴셜 정보를 탈취하는 기능을 가지고 있다. 수 년 전부터 현재까지 꾸준히 유포되고 있는 악성코드다. Lokibot은 대부분 피싱 메일을 통해 유포되고 있으며, 탐지를 우회하기 위해 요즘은 주로 닷넷(.NET) 프로그램의 형태로 유포되고 있다.

 

 

Lokibot은 피싱 메일 형태로 국내에서 꾸준히 유포 중이며, 최근에는 네이버 전자세금계산서를 위장하여 유포되기도 했습니다. 

 

 

 

 

이번에 수집된 악성 메일은 'Seoul Air Cargo SOA JULY', 'Re : 견적문의'라는 제목으로 유포되었습니다.

 

 

[그림 1] 유포 중인 피싱 메일

 

 

내용은 회계 명세서와 견적서를 위장하고있으며, 첨부파일에는 악성코드가 포함되어 있습니다. 

 

 

[그림 2] 피싱 메일에 포함된 악성 파일

 

 

사용자가 압축파일 내 포함되어 있는 파일을 실행하면 LokiBot이 실행됩니다. 

 

실행된 LokiBot은 사용자 PC정보와 함께 웹 브라우저, 메일 클라이언트, FTP 프로그램 등에 저장해 놓은 계정 비밀번호를 탈취합니다. 

 

 

[그림 3] 정보 수집 함수들

 

 

수집된 정보들은 공격자의 C&C 서버로 전송됩니다. 



C&C 서버 정보

Seoul Air Cargo SOA JULY.exe
hxxp://185.227.139[.]5/sxisodifntose.php/YhXBwhqZTd6mE

견적서 제출 요청 [RFQ6576487].exe
hxxp://192.236.162[.]234/oga/fre.php

 

 

[그림 4] 생성된 정보 데이터

 

 

이렇게 유출된 정보들은 또 다른 공격에 악용될 수 있는 만큼 사용자들의 각별한 주의가 필요합니다. 

 

사용자 여러분들은 출처가 불분명한 사용자에게서 온 메일에 포함된 링크 클릭이나 첨부파일 실행을 지양해 주시기 바라며, 링크 클릭 혹은 첨부파일 실행 전 미리보기를 통해 링크 주소 및 파일 확장자를 확인하는 습관을 길러야 하겠습니다. 

 

현재 알약에서는 해당 악성코드에 대해 Spyware.Lokibot으로 탐지중에 있습니다.

 

 

 

관련글 더보기

댓글 영역