Home > 전체기사
[긴급] KEB하나은행 보안메일 사칭한 피싱 메일 유포중
  |  입력 : 2019-12-20 10:38
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
첨부파일 실행하면 사용자 정보 탈취는 물론 다운로드 기능까지 작동

[보안뉴스 원병철 기자] 20일 새벽부터 ‘KEB하나은행’을 사칭한 악성메일이 유포되고 있어 사용자들의 각별한 주의가 요구된다. ‘KEB하나은행 보안메일’을 사칭한 이번 공격은 악성메크로가 담긴 엑셀파일이 첨부되어 있으며, 파일을 실행하면 사용자 정보 전송은 물론 파일을 다운로드 하는 명령어까지 담겨 있어 2, 3차 피해까지 우려된다.

▲KEB하나은행 보안메일을 위장한 악성 메일[자료=ESRC]


이스트시큐리티 시큐리티대응센터(이하 ESRC)는 20일 현재 하나은행 보안메일을 위장한 악성메일이 유포되고 있다고 밝혔다. 해당 메일은 KEB 하나은행의 보안메일로 위장하고 있으며, html 파일이 첨부되어 있다.

▲KEB하나은행 보안메일로 위장한 html[자료=ESRC]


사용자가 해당 html 파일을 클릭하면, 정상적인 이메일 보안메일과 동일하게 생년월일 6자리를 입력하라는 페이지가 뜨며, 패스워드 입력 시 xls 문서가 실행된다. 이렇게 다운로드된 엑셀파일 안에는 악성 메크로가 포함되어 있다.

▲악성 매크로가 포함된 엑셀파일[자료=ESRC]


만약 사용자가 ‘콘텐츠 사용’ 버튼을 눌러 매크로를 활성한다면, Microsoft Office Components 설치 화면이 뜬다. 하지만 해당 화면은 가짜 화면으로, 실제로는 백그라운드에서 ‘%appdata%\\Microsoft\Windows\Templates\' 경로에 ‘outgoing.dll’ 악성 모듈 드롭 및 ‘glitch’ 파라미터로 ‘EXCEL.exe’ 프로세스에 로드한다.

▲엑셀에 포함되어 있는 악성 매크로[자료=ESRC]


드롭되는 outgoing.dll 파일은 다음과 같은 기능들이 포함되어 있다.

1. 정보 전송
명령제어(C&C) 서버로 ‘컴퓨터 이름, 사용자 이름, 운영체제 정보, 현재 실행 중인 프로세스 이름’ 등의 시스템 정보를 전송한다.

▲감염 PC 정보수집 코드[자료=ESRC]


2. 다운로더
C&C의 명령 및 데이터에 따라 프로세스에 인젝션되어 실행되거나 임시폴더에 파일 드롭 및 실행이 이뤄진다. 다운로드되는 파일에 따라 2차 피해가 발생될 수 있어 주의가 필요하다.

2-1. 인젝션으로 실행

▲인젝션 코드 일부[자료=ESRC]


2-2. 임시폴더에 파일 드롭 및 실행

▲파일 드롭 및 실행[자료=ESRC]


ESRC 문종현 센터장은 “해당 악성메일이 현재 대량으로 유포되고 있기 때문에 사용자들의 각별한 주의가 필요하다”고 강조했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)