"Payment Error" 스팸 메일로 유포 중인 Remcos RAT 악성코드

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

"Payment Error" 제목의 스팸메일이 발송되고 있어 사용자의 주의가 필요합니다.

 

[그림 1] 스팸메일 화면

메일 본문에는 사용자가 계좌로 지불한 내역이 오류가 있었고, 아래의 링크에서 첨부파일을 다운로드하여 은행 정보가 맞는지 확인하라는 내용이 기재되어 있습니다.

링크가 연결된 사이트에는 다운로드할 수 있는 2개의 파일이 존재하며, 해당 파일 들은 각각 ProformaInvoice.doc.exe, Payment Details_xcod.exe 파일명으로 생성되어 있으며 Word, PDF 문서의 아이콘으로 위장되어 있습니다.

 

 

[그림 2] 링크 클릭 시 악성코드 다운로드 사이트 화면

2개의 파일은 모두 Resmcos RAT 악성코드로써 실행 시 C&C통신 이후 스크린샷, 키로깅, 레지스트리 추가 및 편집, 공격자 명령 실행 등 다양한 악성 행위를 할 수 있습니다. 

이번에 사용된 Remcos RAT는 3.8.0 Pro 버전으로 2022년 8월 21일에 릴리즈 된 최신 버전으로 악성 파일 내에 버전 정보가 하드 코딩되어있습니다. 또한 보안 프로그램을 우회하기 위해 .NET을 이용하였습니다

 

 

[그림 3] 하드코딩 된 Remcos Rat 버전 정보

Remcos RAT 악성코드는 스팸메일을 통해 지속적으로 유포되고 있으며, 사용자 여러분들께서는 이메일 수신 시 반드시 발신자의 이메일 주소를 확인하시고, 첨부파일 실행 전 확장자를 확인하는 습관을 기르셔야 합니다.
 
현재 알약에서는 해당 악성코드에 대해 Backdoor.Remcos.A 로 탐지 중에 있습니다.