상세 컨텐츠

본문 제목

국내 유명 손해보험사를 위장한 피싱 메일 주의!

악성코드 분석 리포트

by 알약4 2022. 2. 11. 11:03

본문

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
국내 유명 손해보험사를 위장한 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다. 

 

 

[그림 1] 국내 손해보험사를 위장한 피싱 메일



이번에 발견된 피싱 메일은 실제 손해보험사에서 보낸것처럼 위장하고 있으며, html 파일이 첨부되어 있습니다. 첨부되어 있는 html 파일을 실행하면, password 가 적힌 페이지와 함께 하나의 압축파일이 다운로드 됩니다. 

 

[그림 2] 첨부되어 있는 html 파일 실행 결과



다운로드 된 압축파일 내에는 손해보험사이름을 위장한 악성 파일이 포함되어 있으며, 압축을 해제하면 pdf 아이콘을 위장한 .exe 파일을 확인할 수 있습니다. 

 

 

[그림 3] 압축 파일 내 악성 파일

 

 

첨부되어 있는 악성 파일은 Remcos RAT 1.7 Pro버전으로 보안프로그램을 우회하기 위해 .NET을 이용하였습니다. 내부 악성코드 모듈 내에는 버전정보가 하드코딩 되어있습니다. 

 

 

[그림 3] 하드코딩 된 Remcos Rat 버전 정보

 

 

Remcos 악성코드는 원격제어 악성코드로, C&C통신 이후 스크린샷, 키로깅, 레지스트리 추가 및 편집, 공격자 명령 실행 등 다양한 악성행위를 할 수 있습니다. 

 

이 밖에도, 사용자 PC에 동작 중인 브라우저(Internet Explorer, Chrome, Firefox)의 쿠키 데이터와 로그인 정보를 수집합니다.

 

[그림 4] 브라우저 정보 탈취 기능

 

사용자 여러분들께서는 이메일 수신 시 반드시 발신자의 이메일 주소를 확인하시고, 첨부파일 실행 전 확장자를 확인하는 습관을 기르셔야 합니다.

 

현재 알약에서는 해당 악성코드에 대해 Backdoor.Remcos.A로 탐지중에 있습니다. 

 

관련글 더보기

댓글 영역