HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

(주의) 피싱 메일 속 악성 링크를 통해 대량 유포중인 이모텟 악성코드
등록일 :
2020.01.21

□ 개요

최근 국내에 피싱 메일 속 악성 링크를 통해 대량의 이모텟 악성코드가 유포되고 있어 국내 사용자들의 각별한 주의가 필요하다.

 

 

 

□ 내용

국내에 유포되고 있는 피싱 메일은 계약서 송부, 업무 협조 등의 내용들로 유포되고 있으며, 링크를 클릭하도록 유도하는 피싱 메일이다. 

 


[사례 1] 계약서 관련 피싱 메일 1

 

 


[사례 2] 계약서 관련 피싱 메일 2

 

 


  

[사례 3] 베트남 관련 피싱 메일   

 

 

​링크를 클릭하게 되면 메일에서 확인 된 주소가 아닌 다른 악성 주소로 이어져있어 악성 문서를 다운받게 된다.

 


 [그림 1] 메일에서 확인된 주소가 아닌 악성 주소로 이어지는 링크  

 

 

악성문서를 실행 후 콘텐츠 사용 버튼을 누르면 파워쉘을 통해 이모텟 악성코드를 다운받게 된다.


[그림 2] 악성 매크로가 삽입된 문서 파일



[그림 3] 삽입된 매크로 코드 중 일부


다운받은 이모텟 악성코드는 ' %USERPROFILE%' 경로에 생성되며 자가복제를 진행한다.


[그림 4] '%USERPROFILE%' 경로에 생성된 이모텟 악성코드


추후 이모텟 악성코드는 자동실행 레지스트리 등록, 로컬 시스템 정보 수집, 추가 악성코드 다운로드 등의 악성행위를 진행한다.


최근 다양한 피싱 메일 속 악성링크를 통해 대량의 이모텟 악성코드가 유포되고 있으므로 의심스런 메일 확인 시 메일 발신자에게 메일 발송 여부를 문의하여 진위여부를 주의 깊게 확인해야한다.



 바이로봇 업데이트 내역
EML.Agent
W97M.Downloader
Trojan.Win32.Emotet
  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top