최신 보안 동향

[주의]해외 호텔 예약 관련 악성 이메일 유포

TACHYON & ISARC 2011. 8. 1. 18:09

1. 개 요


최근 해외에서 호텔 예약 오류와 관련한 악성 이메일이 지속적으로 발견되고 있다. 본격적인 여름 휴가철을 맞아 해외 여행을 계획하고 있는 일반 사용자의 경우 이와 같은 악성 이메일을 열람할 경우 첨부되어 있는 악성파일에 감염될 수 있어 각별한 주의가 필요하다. 또한, 해당 악성 이메일들은 제목에 유명 호텔 이름을 사용하고 있는 것이 특징이다.

  

2. 유포 경로 및 감염 증상

해당 악성 이메일의 경우 여러 스팸메일들과 같이 인터넷 사용중 개인 이메일 계정 정보 유출 등으로 인해 수신될 수 있으며, 이메일 내부에 첨부파일 형태로 포함되어 있는 실제 악성파일은 SNS, 인스턴스 메신저 등의 링크 접속을 통해 다운로드될 수 있다.

최근 발견되고 있는 호텔 예약 오류와 관련한 악성 이메일은 여러가지 종류가 존재하며, 지속적으로 메일 내용이 변경되어 출현중에 있다.

아래의 그림은 호텔 예약 오류와 관련한 악성 이메일에 대한 화면이다.

◆ 유사한 악성 이메일

 

※ 메일 본문 내용

제목 : Hotel The Westin Oaks  made wrong transaction

Dear Guest!

Transaction: Visa 5259_PJ6hD
On July 26th, 2011 Hotel made wrong transaction debiting from your account for an overall amount of $1479.
For noncompliance of the service contract this Hotel was divested accreditation in Moverick Company.
Please see the attached form. You need to fill it in and contact your bank for the return of funds.
You’ll need the attached detalization of your account transactions to apply for the return of funds.
Company just mediates and bears no responsibility for any money transactions made by Hotel.
Thank you for understanding. We trust you can solve this unpleasant problem.

Marty Ditolla,
Manager of Reception Desk & Reservation Departament


첨부파일 : RefundForm(3자리 숫자).zip

제목 : Hotel Sheraton Suites Houston Near The Galleria  made wrong transaction

Dear customer!

Transaction: Visa 50734_1Lk
On July 26th, 2011 Hotel made wrong transaction writing-down from your credit card for an overall amount of $1465.
This partner hotel was divested accreditation in Moverick Company with reference of noncompliance of the service contract.
For the return of funds please contact your bank and fill information in the attached form.
In the attachment you will find expense sheet with the sum of wrong transaction decommissioning.
As Company is not responsible for money transactions and acts as intermediary you can seize the court directly to return the funds from the Hotel.
Thank you for understanding. We trust you can solve this unpleasant problem.

Randy Hackathorn,
Manager of Reception Desk & Reservation Departament


첨부파일 : RefundForm(3자리 숫자).zip

제목 : Hotel Westin Princeville Ocean Resort Villas  made wrong transaction

Dear Customer!

Transaction: Credit Card 163684_mh
This letter notifies that on July 26th, 2011 Hotel transaction debiting from your account. Total sum of decommissioning is $1673
Due to the termination of service contract between Hotel Melia Deviana and Moverick Company this Hotel was divested accreditation in our company.
For the return of funds please contact your bank and fill information in the attached form.
In the attachment you will find expense sheet with the sum of wrong transaction decommissioning.
Company just mediates and bears no responsibility for any money transactions made by Hotel.
Sorry for the inconvenience. We trust you can solve this unpleasant problem.

Clematis Delahanty,
Manager of Reception Desk & Reservation Departament

첨부파일 : RefundForm(3자리 숫자).zip

제목 : Hotel The Carlyle, A Rosewood   made wrong transaction

Dear customer!

Transaction: Visa 96682816_orvYc
On July 26th, 2011 Hotel made wrong transaction decommissioning from your account for an overall amount of $1897.
Due to the termination of service contract between Hotel Melia Deviana and Moverick Company this Hotel was divested accreditation in our company.
For the return of funds please contact your bank and fill information in the attached form.
In the attachment you will find expense sheet with the sum of wrong transaction error of transaction.
Company just mediates and bears no responsibility for any money transactions made by Hotel.
Sorry for the inconvenience. We trust you can solve this unpleasant problem.

Margery Lovvorn,
Manager of Reception Desk & Reservation Departament


첨부파일 : RefundForm(3자리 숫자).zip

메일 내용은 대부분이 비슷하며, 예약시 입금 금액에 대한 오류 내용이 주를 이루고 있으며, 첨부된 시트 파일을 참고하라는 문구로 첨부된 악성파일에 대한 다운로드 및 실행을 유도하고 있다.

아래의 그림은 첨부된 압축파일에 대한 압축해제 시 확인 가능한 첨부파일이다.


해당 악성파일의 아이콘은 위 그림과 같이 엑셀 파일과 유사하다. 이로인해 일반 사용자의 경우 결제 관련 시트파일로 오인하여 별다른 의심없이 해당 파일을 실행할 수 있다.

또한, 해당 악성파일을 실행하면 특정 외부 사이트로 접속을 시도하며, 아래의 그림과 같이 허위백신과 관련된 추가적인 악성파일 다운로드를 시도할 수 있다.

※ 특정 외부 사이트 접속 리스트

- http://(생략).ru/forum4/(생략)
- http://www.(생략).com/
- http://(생략).com/(생략)/img.php?id=106

※ 현재는 위에 나열된 접속 리스트들 모두 접속이 불가능한 상태이다.

◆ 추가적으로 다운로드 될 수 있는 허위백신 관련 악성파일


위 그림과 같은 허위백신 관련 악성파일은 Tls Callback 함수 등을 사용하여, 쓰레드 생성전 Packing된 파일에 대해 Unpacking 후 실행되는 구조로 되어있다.

다만, 해당 악성파일의 경우 내부에 특정 외부 사이트 URL에 대한 파싱부분이 존재하며, 몇가지 조건이 충족되지 않을 경우 정상적으로 실행되지 못할 수 있다.

3. 예방 조치 방법

위와 같은 악성 이메일의 경우 대부분 일반 사용자들이 쉽게 현혹될 수 있는 사회공학 기법을 사용하고 있어 육안상 악성 여부를 판별하기가 쉽지 않다. 이러한 악성 이메일과 첨부된 악성파일로 부터 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다 할 수 있겠다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일의 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. SNS, 인스턴트 메신저 등을 통해 접근이 가능한 링크 접속시 주의를 기울인다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성파일에 대해 아래의 그림과 같은 진단/치료 기능을 제공하고 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

◆ 진단명 현황

- Trojan/W32.Agent.865792.R
- Trojan-Downloader/W32.Injecter.52736
- Trojan/W32.Agent.939008.I