Home > 전체기사
구매 송장 메일로 위장해 사용자 정보 노리는 악성코드 출현
  |  입력 : 2019-02-28 20:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
송장 영수증 다운받도록 악성 링크 클릭 유도...악성 매크로 포함된 doc파일 다운

[보안뉴스 원병철 기자] 국내에 악성 매크로가 포함된 ‘구매 영수증’ 관련 악성 메일이 국내에 유포되고 있는 것으로 드러났다. 이스트시큐리티 시큐리티대응센터(ESRC)는 이번에 발견된 악성 메일이 첨부파일로 doc, xls 같은 문서 파일이 추가 된 것이 아니라, 구매 송장 영수증을 다운로드 받도록 악성 링크 클릭을 유도하여 악성 매크로가 포함된 doc 파일을 다운받는 것으로 확인됐다고 밝혔다.

▲수신된 메일 리스트[자료=ESRC]


본문 내용에 영수증을 확인하기 위해 기재된 URL을 클릭하면 악성 매크로가 포함된 doc 파일을 자동 다운로드한다. 그리고 사용자가 다운로드 된 ‘20190222_Pay_receipt_71162370.doc’ 파일을 클릭할 경우 매크로 실행을 유도하게 된다.

▲매크로 실행을 유도하는 doc 문서[자료=ESRC]


송장 영수증에 대한 자세한 정보를 확인하기 위해 매크로를 실행할 경우, 난독화된 VBA 스크립트가 동작하며, 미리 지정해 둔 C&C 서버를 조회하면서 EMOTET 악성코드 파일을 다운로드한다. 이를 분석하면 ‘http://199.43.***.**/wp-admin/*********’ 사이트에 접속한 후 %USERPROFILE% 하위폴더에 ‘788.exe’라는 이름으로 다운로드 후 실행됨을 알 수 있다.

▲복호화 된 VBA 스크립트[자료=ESRC]


다운로드된 악성코드는 사용자로부터 의심을 피하기 위해 %SYSTEM% 경로에 자가 복제를 한 후 사용자 PC 시스템 정보(프로세스 목록, OS버전, 아키텍처)를 수집하고 C&C(74.59.**.**:8080) 서버로 전송한다.

따라서 ESRC는 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근을 삼가하고, 검증되지 않은 파일을 실행하기 전에는 백신 프로그램을 이용해 악성 여부 검사를 수행할 것을 조언했다. 한편, 알약에서는 관련 샘플을 ‘Trojan.Downloader.DOC.gen, Trojan.Agent.Emotet’으로 진단하고 있다고 밝혔다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)