Home > 전체기사
‘삼성 모바일 전송’ 메일 위장 원격제어 악성코드 출현
  |  입력 : 2019-02-15 10:06
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
상업용 원격제어 프로그램 ‘Ammyy Admin’ 유출 소스코드 기반으로 제작

[보안뉴스 원병철 기자] 최근 ‘모바일 전송 메일’로 위장한 악성코드가 유포되고 있어 사용자들의 각별한 주의가 요구된다. 이스트시큐리티 시큐리티대응센터(ESRC)는 ‘삼성 모바일’에서 전송된 메일처럼 꾸민 뒤 첨부된 ‘인보이스.xls’ 파일을 실행시키도록 유도한 후 악성코드를 감염시키는 공격을 공개했다.

[이미지=iclickart]


이메일은 현재 악성코드 xls 파일을 첨부해 대량 유포되고 있다. 해당 파일은 DDE를 통해 악성코드 설치파일을 다운로드한다. 최종 페이로드인 ‘wsus.exe’는 감염된 PC를 통해 원격제어한다.

▲공격 이메일 화면[이미지=ESRC]


▲악성코드 공격 흐름도[이미지=ESRC]


이번 메일은 사용자가 확인 가능한 내용이 없어 궁금증을 유발시킴으로써 첨부 xls 파일 실행을 유도한다. 해당 xls 파일 또한 삽입된 매크로가 실행하도록 유도한다.

▲‘인보이스-12-2-2019.xls’ 파일 화면[이미지=ESRC]


최종 악성코드를 다운받기 위해 ‘http://update365office.com/agp’와 ‘http://185.17.123.201/dat3.omg’를 통해 나누어 다운로드가 진행된다. 이는 1차 다운로드 파일에서 백신 검사를 통해 최종 페이로드 탐지를 우회하기 위한 것으로 보인다는 게 ESRC 측의 설명이다.

▲백신 우회 코드[이미지=ESRC]


최종적으로 실행되는 wsus.exe는 원격제어 악성코드로, 명령줄 실행, 사용자 정보 수집, 권한 상승 등 기능을 수행한다. 추가적으로 이 악성코드는 상업용 원격제어 프로그램인 ‘Ammyy Admin’의 유출된 소스코드를 기반으로 제작됐다.

▲유출된 코드와의 비교 화면[이미지=ESRC]


따라서 사용자들은 출처가 불분명한 사용자에게서 온 이메일에 포함된 하이퍼링크 혹은 첨부파일 클릭을 지양해야 하며, 파일을 실행하기 전에는 백신 프로그램을 이용해 악성 여부를 확인해야 한다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 6
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)