세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  INFO-CON
Home > 전체기사
구매 송장 메일로 위장해 사용자 정보 노리는 악성코드 출현
  |  입력 : 2019-02-28 20:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
송장 영수증 다운받도록 악성 링크 클릭 유도...악성 매크로 포함된 doc파일 다운

[보안뉴스 원병철 기자] 국내에 악성 매크로가 포함된 ‘구매 영수증’ 관련 악성 메일이 국내에 유포되고 있는 것으로 드러났다. 이스트시큐리티 시큐리티대응센터(ESRC)는 이번에 발견된 악성 메일이 첨부파일로 doc, xls 같은 문서 파일이 추가 된 것이 아니라, 구매 송장 영수증을 다운로드 받도록 악성 링크 클릭을 유도하여 악성 매크로가 포함된 doc 파일을 다운받는 것으로 확인됐다고 밝혔다.

▲수신된 메일 리스트[자료=ESRC]


본문 내용에 영수증을 확인하기 위해 기재된 URL을 클릭하면 악성 매크로가 포함된 doc 파일을 자동 다운로드한다. 그리고 사용자가 다운로드 된 ‘20190222_Pay_receipt_71162370.doc’ 파일을 클릭할 경우 매크로 실행을 유도하게 된다.

▲매크로 실행을 유도하는 doc 문서[자료=ESRC]


송장 영수증에 대한 자세한 정보를 확인하기 위해 매크로를 실행할 경우, 난독화된 VBA 스크립트가 동작하며, 미리 지정해 둔 C&C 서버를 조회하면서 EMOTET 악성코드 파일을 다운로드한다. 이를 분석하면 ‘http://199.43.***.**/wp-admin/*********’ 사이트에 접속한 후 %USERPROFILE% 하위폴더에 ‘788.exe’라는 이름으로 다운로드 후 실행됨을 알 수 있다.

▲복호화 된 VBA 스크립트[자료=ESRC]


다운로드된 악성코드는 사용자로부터 의심을 피하기 위해 %SYSTEM% 경로에 자가 복제를 한 후 사용자 PC 시스템 정보(프로세스 목록, OS버전, 아키텍처)를 수집하고 C&C(74.59.**.**:8080) 서버로 전송한다.

따라서 ESRC는 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근을 삼가하고, 검증되지 않은 파일을 실행하기 전에는 백신 프로그램을 이용해 악성 여부 검사를 수행할 것을 조언했다. 한편, 알약에서는 관련 샘플을 ‘Trojan.Downloader.DOC.gen, Trojan.Agent.Emotet’으로 진단하고 있다고 밝혔다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
신기술이 무서운 속도로 등장하고 있습니다. 가장 시급히 보안 장치/정책/규정규정/표준이 도입되어야 하는 분야는 무엇이라고 생각하십니까?
클라우드와 컨테이너
SDN(소프트웨어 정의 네트워크)
인공지능과 자동화
블록체인
소셜 미디어
기타(댓글로)