Home > 전체기사
경찰청 사칭한 ‘경찰청 초대’ 악성 메일 유포됐다
  |  입력 : 2020-04-08 15:41
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
첨부파일 실행하면 키로깅과 권한탈취 등 수행...추가 악성코드도 다운받아

[보안뉴스 원병철 기자] 최근 경찰청을 사칭한 악성메일이 발견돼 사용자들의 주의가 요구된다. 이스트시큐리티 ESRC(시큐리티대응센터)는 7일 오후부터 경찰청을 사칭하고, 악성파일이 첨부된 악성메일이 발견됐다고 밝혔다.

▲경찰청 사칭 악성 메일[자료=ESRC]


이번에 발견된 메일은 ‘경찰청 초대’라는 제목으로 유포됐으며, 어색한 한국어를 구사하고 있다. 이메일 하단에 현 경찰청장인 ‘민갑룡’ 청장의 영문이름을 추가해 사용자들의 신뢰를 얻으려 시도하고 있다.

메일에는 문서.iso 파일이 첨부되어 있으며, 압축파일로 풀어보면 ‘문서.exe’ 파일이 포함되어 있다. 최초 첨부 파일인 ‘문서.exe’은 닷넷 파일로 ‘Remcos’ 페이로드를 인젝션하는 기능을 수행한다. 아래는 프로세스 인젝션 코드의 일부다.

▲인젝션 코드[자료=ESRC]


Remcos 악성코드는 명령제어 악성코드로, 명령제어(C&C) 통신 이후 공격자 명령에 따라 △키로깅 △파일 통제(삭제/다운로드/업로드) △프로세스 통제 △레지스트리 통제 △‘cmd.exe’ 실행 및 결과 업로드 △음성 녹음 △화면 녹화 △브라우저 정보 탈취 △시스템 종료 및 재시작과 같은 기능을 수행한다.

파일 다운로드 및 업로드 코드를 살펴보면, 해당 명령에 따라 각각 감염 PC에 추가적으로 악성코드 다운로드 및 드롭과 정보 탈취가 이루어 질 수 있다.

▲파일 다운로드 코드[자료=ESRC]


ESRC는 현재 알약에서 해당 악성코드에 대해 Backdoor.Remcos.A로 탐지 중에 있다고 밝혔다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)