하우리 로고 이미지

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

(주의) 2020년 재무제표 및 결산수수료로 위장한 피싱메일 주의
등록일 :
2021.03.23

□ 개요


최근 국내에 특정 회계법인으로 위장한 피싱메일이 유포되고 있어 국내 사용자들의 각별한 주의가 필요하다.

 

□ 내용


해당 메일에는 회사의 재무상태표 및 손익계산서를 확인하라며, 첨부파일 실행을 유도하고 있다. 

 

[그림 1] 재무제표 및 결산수수료로 위장한 악성메일

 

 

해당 첨부파일은 "img" 확장자로 되어있으며 내부에는 폴더 파일로 위장한 실행 파일이 있다.​ 사용자가 이를 착각하고 파일 실행 시 Agenttesla 악성코드에 감염된다.

 

​​

[그림 2] "img" 확장자 파일 내부에 존재하는 실행파일

 

[그림 3] 폴더 파일로 위장한 실행파일

 

해당 악성코드는 웹 브라우저, ftp, 메일의 계정정보 및 PC 사용자 정보 등에 대해 탈취 행위를 진행한다.

 

[그림 4] 탈취 체크 코드

 

[표 1] 정보 탈취 체크 리스트

 

확인된 탈취 정보가 있을 경우 3가지 방법(FTP, SMTP, HTTP)로 전송 할 수 있으며 해당 악성코드는 SMTP 전송을 시도한다.

host: mail.chefoowork.com

to: beku@chefoowork.com
from: beku@chefoowork.com
subject: PW_{password}_{user name}/{computer name}
body: "Time: {data}<br>User Name: {data}<br>Computer Name: {data}<br>OSFullName: {data} <br>CPU: {data}<br>RAM: {data}<br><hr>"
attachment: {data​}

​[그림 5] 탈취 정보 SMTP 전송

 

 

최근 다양한 방법을 통해 악성 메일이 유포되고 있으므로 첨부파일인 경우 의심부터 하고 메일의 진위여부를 주의 깊게 확인해야한다.

 

 

□ 바이로봇 업데이트 내역

ISO.IncludeMal

Trojan.Win32.Agenttesla

 

  

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top