Home > 전체기사

주고 받은 ‘회신 이메일’도 다시 보자! 범블비 악성코드 기승

  |  입력 : 2022-06-13 16:04
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
ISO 첨부파일을 통해 유포되고 있는 범블비(Bumblebee) 악성코드 주의

[보안뉴스 원병철 기자] 최근 주고 받은 메일의 ‘회신된 이메일’로 악성코드를 담아 보내는 공격이 발견돼 사용자들의 주의가 요구된다. 정상적으로 주고 받던 메일의 ‘회신’된 메일이기에 피해자는 별다른 의심없이 메일을 받고 첨부파일을 열어 악성코드에 감염되는 방식이라 피해가 커지고 있다.

▲정상 이메일을 위장하여 범블비 악성코드를 유포하는 피싱 메일[자료=이스트시큐리티 ESRC]


이스트시큐리티 ESRC(시큐리티대응센터)는 ISO 첨부파일을 통해 범블비(Bumblebee) 악성코드가 국내에 유포 중에 있어 사용자들의 주의가 필요하다고 공지했다. 이번 공격은 휴대폰 교체를 이유로 계정 리셋 및 패스워드 초기화를 요청하는 악성 메일을 통해 시도됐으며, 악성메일에는 첨부파일이 포함되어 있다. 

주목할 점은, 기존에 이메일을 주고 받았었던 관련자의 계정을 사용해, 기존에 주고 받았던 정상 이메일에 회신 형식으로 발송했다는 점이다. 이러한 방식을 통해 좀 더 효과적으로 수신자를 속여 첨부파일을 실행하도록 유도했다. 첨부파일은 비밀번호가 걸려 있으며, 비밀번호는 이메일 본문에 포함되어 있다. 또한, 첨부파일 내에는 ISO 파일이 포함되어 있다. 
 

▲피싱 메일 내 첨부파일인 ISO 파일 내 포함되어 있는 악성파일들[자료=이스트시큐리티 ESRC]


ISO 파일 내에는 dll 파일, lnk 파일 및 bat 파일이 포함되어 있다. lnk 파일을 실행하면 지정된 명령어 ‘%windir%\system32\cmd.exe /c start requestpdf.bat’를 통해 .bat 파일이 실행되며, requestpdf.bat 파일이 실행되면, 또 da4nos.dll 파일을 실행하며 범블비 악성코드가 실행된다. 범블비 악성코드가 실행되면 명령제어(C&C) 서버에 접속해 추가로 악성코드를 내려 받는다. 
 
범블비 악성코드는 2022년 3월 등장한 악성코드로, 지속적으로 개발 단계에 있는 것으로 추정된다. 범블비를 유포하는 피싱 메일의 경우, 이메일을 주고 받은 적이 있는 사용자의 계정과 기존 이메일에 답장 형식으로 발송하기 때문에 사용자들이 쉽게 속을 수 있다. 

이스트시큐리티 ESRC는 “사용자들은 이메일 내 첨부파일 실행 시 주의를 기울여야 하며, 기존에 이메일을 주고 받은 적이 있는 사용자라고 하더라도 한 번 더 확인하는 습관을 길러야 한다”고 조언했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)