□ 개요
최근 국내에 특정 회계법인으로 위장한 피싱메일이 유포되고 있어 국내 사용자들의 각별한 주의가 필요하다.
□ 내용
해당 메일에는 회사의 재무상태표 및 손익계산서를 확인하라며, 첨부파일 실행을 유도하고 있다.
[그림 1] 재무제표 및 결산수수료로 위장한 악성메일
해당 첨부파일은 "img" 확장자로 되어있으며 내부에는 폴더 파일로 위장한 실행 파일이 있다. 사용자가 이를 착각하고 파일 실행 시 Agenttesla 악성코드에 감염된다.
[그림 2] "img" 확장자 파일 내부에 존재하는 실행파일
[그림 3] 폴더 파일로 위장한 실행파일
해당 악성코드는 웹 브라우저, ftp, 메일의 계정정보 및 PC 사용자 정보 등에 대해 탈취 행위를 진행한다.
[그림 4] 탈취 체크 코드
[표 1] 정보 탈취 체크 리스트
확인된 탈취 정보가 있을 경우 3가지 방법(FTP, SMTP, HTTP)로 전송 할 수 있으며 해당 악성코드는 SMTP 전송을 시도한다.
host: mail.chefoowork.com
최근 다양한 방법을 통해 악성 메일이 유포되고 있으므로 첨부파일인 경우 의심부터 하고 메일의 진위여부를 주의 깊게 확인해야한다.
□ 바이로봇 업데이트 내역
ISO.IncludeMal
Trojan.Win32.Agenttesla