Home > 전체기사

죽지 않고 살아난 이모텟, 피싱 메일로 유포중

  |  입력 : 2021-11-17 18:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
피싱메일을 통해 유포중인 Emotet 악성코드 주의!
10개월 전 국제공조로 공격 인프라 폐쇄됐다 최근 다시 등장


[보안뉴스 원병철 기자] 최근 피싱 메일을 통해 유포중인 이모텟(Emotet) 악성코드가 확인돼 사용자들의 주의가 요구된다. 올해 초 Europol과 Eurojust가 협력해 Emotet 인프라를 압수하고 관련자 2명을 체포하고, 지난 4월 25일 Emotet에 감염된 디바이스에서 해당 악성코드를 제거하는 모듈을 제공하면서 한동안 모습을 감췄던 Emotet 악성코드가 또 다시 활동을 시작했다고 이스트시큐리티 ESRC는 밝혔다.

▲악성파일이 첨부된 피싱메일[자료=ESRC]


이번에 ESRC에서 발견한 Emotet은 기존과 같이 피싱메일을 통해 유포되고 있다. 해당 피싱메일은 공직자 통합메일(@korea.kr) 사용자에게 전염병대비혁신연합(CEPI)을 위장해 발송됐다. 이메일 내용에는 별 다른 내용 없이 첨부되어 있는 zip 파일 파일명 및 패스워드만 적혀 있다.

첨부된 압축파일 안에는 악성 매크로가 포함된 워드파일이 첨부되어 있다. 이메일에 적힌 비밀번호를 입력해 압축해제 후 워드파일을 실행하면, 문서 보호를 위해 미리보기가 불가하다는 문구와 함께, 사용자로 하여금 콘텐츠 사용 버튼을 클릭하도록 유도한다.

▲난독화된 VBA 스크립트[자료=ESRC]


하지만 사용자가 콘텐츠 사용 버튼을 눌러도 사용자 입장에서 보이는 화면은 동일하며, 내부에 포함되어 있던 매크로가 동작한다. 워드파일 안에 존재하는 악성 VBA 매크로는 난독화가 되어 있으며, cmd를 통해 powershell을 실행, 7개의 URL 중 연결이 가능한 URL을 통해 Emotet 악성코드를 다운로드한다.

▲이모텟 dll 다운로드[자료=ESRC]


다운로드 된 파일은 C:\ProgramData 폴더에 다운로드 되며, 차후 사용자의 AppData\Local 폴더 아래 랜덤한 이름의 폴더를 생성 후 이동시킨다. 또한 재부팅 시 자동 실행을 위해 Run 레지스트리트에 등록한다.

ESRC는 출처불분명한 사용자에게서 온 이메일의 열람을 지양하고, 낯선 문서파일의 매크로를 실행하지 않아야 한다고 조언했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)