Home > 전체기사

피싱 메일 통해 악명 높은 ‘이모텟’ 악성코드 대량 유포

  |  입력 : 2022-02-03 00:21
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
피싱 메일에 별다른 내용 없이 첨부 압축파일 패스워드 기재
악성 매크로가 포함되어 있는 엑셀 파일, ‘콘텐츠 사용’ 버튼 클릭 유도
최근 이메일 첨부파일 통한 이모텟 유포 급증, 수상한 메일 즉시 삭제해야


[보안뉴스 권 준 기자] 2014년부터 활동을 시작한 악명 높은 악성코드 ‘이모텟(Emotet)’이 피싱 메일을 통해 최근 국내에 대량 유포되고 있는 것으로 드러났다. 이모텟 악성코도는 원래 뱅킹 트로이목마였는데, 계속 진화를 거듭하면서 최근에는 다른 악성코드를 심는 악성코드로 악명을 떨치고 있다.

▲이모텟을 유포하는 스팸메일[자료=이스트시큐리티 ESRC]


이모텟이 포함된 이메일에는 별다른 내용 없이 첨부되어 있는 압축파일의 패스워드만 적혀있다는 게 이스트시큐리티 시큐리티대응센터(ESRC) 측의 설명이다. 압축파일 내에는 매크로가 포함된 엑셀 파일이 포함되어 있다. 해당 엑셀 파일을 열면 문서가 보호되어 있다며, 사용자로 하여금 ‘콘텐츠 사용’ 버튼의 클릭을 유도한다.

▲악성 매크로가 포함되어 있는 엑셀 파일[자료=이스트시큐리티 ESRC]


해당 엑셀 파일에는 매크로 악성파일이 포함되어 있으며, 매크로는 특정 사이트에서 html을 hta 형식으로 실행하는 것으로 분석됐다. html은 난독화 되어 있으며, 최종적으로 내부에 포함된 파워쉘 스크립트를 실행하게 된다.

파워쉘 스크립트는 se.png 명의 파일을 내려받는데, 해당 파일은 .png 파일을 위장한 파워쉘 스크립트이다. 해당 스크립트는 내려받음과 동시에 실행이 되며, 내부에 포함되어 있는 12개의 url 중에서 접속이 성공하는 주소에 접속해 QWER.dll 파일을 내려받아 실행하게 된다. 이렇게 최종적으로 내려받은 dll은 이모텟 악성코드로, rundll32를 통해 실행되어 사용자 정보 탈취 등의 악성 행위를 한다는 게 ESRC 측의 설명이다.

이스트시큐리티 ESRC 측은 “최근 이메일 첨부파일을 통한 이모텟 유포 건수가 급증하고 있어 발신자나 제목이 수상한 이메일을 수신했을 때는 바로 삭제해야 한다”며, “현재 알약에서는 해당 악성코드에 대해 Trojan.Agent.Emotet으로 탐지 중에 있다”고 밝혔다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)