홈택스 '전자세금계산서'를 위장한 LokiBot 악성 메일 주의

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
국세청 전자세금계산서를 위장한 악성 메일이 발견되어 사용자들의 각별한 주의가 요구됩니다.  

 

 

[그림 1] 국세청 전자[세금]계산서로 위장한 악성메일

이번에 수집된 악성 메일은 실제 국세청 전자세금계산서와 매우 유사하게 위장하고 있으며, ZIP 첨부파일에는 EXE 실행 파일이 포함되어 있습니다.

 

[그림 2] 악성 메일에 포함된 압축 파일 내부

공격자는 첨부파일 ZIP 파일명을 "NTS_eTaxInvoice·pdf"로 생성하여, 사용자가 압축파일을 해제했을 경우 EXE 파일이 아니라 PDF 문서 파일로 보여 실행을 유도하도록 단순하지만 속이기 쉬운 트릭을 사용하였습니다.

 

이는 윈도우 기본 설정에서 폴더 옵션 중 '확장자 보기' 기능이 기본적으로 비활성화되어 있기 때문에 공격자가 이러한 점을 노려 제작된 것으로 추측됩니다.

 

 

[그림 3] 폴더옵션 "파일 확장명 숨기기" 옵션 화면

 

 

NTS_eTaxInvoice·pdf.exe 파일은 Anti-Debug 등의 기능으로 구현되어 있는 다운로더로서, 실행된 자기 자신을 자식 프로세스로 생성한 뒤 다시 GuLoader 페이로드를 인젝션 시킵니다.

 

이후 C&C에 연결하여 추가 페이로드를 다운로드하고, 이를 디코딩하여 LokiBot 악성코드를 실행합니다.

 

 

[그림 4] 페이로드 파일의 디코딩된 화면

 

 

LokiBot은 인포스틸러 악성코드로 웹 브라우저, 메일 클라이언트, FTP 클라이언트 등 감염 PC에 설치된 다양한 프로그램들에서 크리덴셜 정보를 탈취하는 후 특정 C&C로 전송합니다.

 

- C&C 서버 정보
hxxp://23.239.31.197/?page=963203285751030

 

 

[그림 5] LokiBot 내부 코드 화면

 

 

이렇게 유출된 정보들은 또 다른 공격에 악용될 수 있는 만큼 사용자들의 각별한 주의가 필요합니다. 

사용자 여러분들은 출처가 불분명한 사용자에게서 온 메일에 포함된 링크 클릭이나 첨부파일 실행을 지양해 주시기 바라며, 링크 클릭 혹은 첨부파일 실행 전 미리보기를 통해 링크 주소 및 파일 확장자를 확인하는 습관을 길러야 합니다.

 

현재 알약에서는 해당 악성코드에 대해 Spyware.Lokibot 으로 탐지 중에 있습니다.