HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

(주의) 국가기관을 사칭한 악성 메일
등록일 :
2019.12.30

□ 개요

최근 국내에 국가기관을 사칭하여 악성 메일을 보내는 경우가 많다. 사용자들은 메일을 확인할 때 각별한 주의가 요구된다.

 

 

 

□ 내용

메일 내용에는 공정거래위원회를 사칭하여 '전산 및 비전산자료 보존 요청서.alz' 이름으로 압축파일 형태로 첨부되어 있다.​​

 

 


​[그림 1] 공정거래위원회를 사칭한 메일

 

 

 

 

2개의 파일 모두 아이콘은 PDF, 한컴 이지만 확장자는 .exe으로 되어있고 각각 다른 행위들을 하는 악성코드이다.

 

 

[그림 2] 문서파일로 위장한 악성코드



 

​PDF 아이콘으로 된 악성코드 실행시 사용자의 정보(PC 정보, 브라우저 기록, 코인 지갑 등)를 수집한다.

 

[그림 3] 사용자 정보 수집



수집한 정보들은 (%ProgramData%)\(25자리_랜덤문자열) sqlite 파일 형태로 저장을 한다.

[그림 4] 수집정보 저장



수집된 정보는 다음과 같은 C&C서버로 전송한다.

C&C 서버: hxxp://****animals[.]***/

 

 

[그림 5] 수집정보 전송



한컴 아이콘으로 된 악성코드 실행시 사용자의 파일들을 모두 암호화 시킨다.

[그림 6] 파일 암호화



파일들의 복호화를 대가로 돈을 지불하라는 요구를 한다.


[그림 7] Nemty 2.5 랜섬웨어

 




최근 다양한 방법을 통해 악성 메일이 유포되고 있으므로 첨부파일인 경우 의심부터 하고 메일의 진위여부를 주의 깊게 확인해야한다.



 바이로봇 업데이트 내역

Trojan.Win32.Infostealer

Trojan.Win32.Nemty

 

 

 

 

 

 

 

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top