분석 정보/악성코드 분석 정보

[악성코드 분석] 공정거래위원회 사칭 메일 악성코드 분석 보고서

TACHYON & ISARC 2019. 12. 31. 12:19

1. 개요

최근 “전자상거래 위반행위 조사통지서(19.12.30)”라는 제목으로 공정거래위원회를 사칭한 이메일이 발견되었다. 해당 메일은 공정거래위원회 로고, 도장 등 실제 공문과 유사하며, 첨부된 압축 파일은 정상 문서파일처럼 위장하여 사용자의 실행을 유도하고 있다. 첨부파일은 두 개의 파일로 이루어져 있으며 각각 랜섬웨어, 정보탈취의 악성 행위를 수행하고 있어 사용자의 주의가 필요하다.


2. 분석 정보

2-1. 파일 정보

구분 내용
파일명 전산 및 비전산자료 보존 요청서(20191230))요청자료 꼭 준비부탁드립니다.exe
파일크기 583,680 bytes
진단명 Trojan/W32.InfoStealer.583680.C
악성 동작 정보 탈취

 

구분 내용
파일명 전산 및 비전산자료 보존 요청서(20191230)요청자료 꼭 준비부탁드립니다.exe
파일크기 283,648 bytes
진단명 Ransom/W32.Nemty.283648
악성 동작 파일 암호화

2-2. 유포 경로

해당 메일은 “전자상거래 위반행위 조사통지서”라는 내용으로 공정거래위원회를 사칭하였으며, 첨부된 압축파일 “전산 및 비전산자료 보존 요청서.alz”은 두 개의 파일로 구성되어 있으며, “전산 및 비전산자료 보존 요청서(20191230)요청자료 꼭 준비부탁드립니다.exe” 파일명과 문서 파일로 위장하여 사용자의 실행을 유도하고 있다.

 

[그림 1] 공정거래위원회 사칭 메일

 

 

2-3. 실행 과정

사용자가 첨부된 압축파일을 다운로드 후 문서 파일로 위장한 내부 파일을 실행하게 되면 각각 정보 탈취 및 파일 암호화를 수행한다.

 

[그림 2] 첨부 파일

PDF 아이콘으로 위장한 파일 실행 시 사용자 PC, 브라우저, 코인 지갑, 스크린샷 정보를 수집 후 저장한다.

 

[그림 3] 수집 정보 :  information.txt

 

[그림 4] 압축된 정보 수집 목록

 

저장된 수집 정보는 zip파일로 압축하여 C&C 서버로 전송한다.


 

[그림 5] 수집 정보 전송

 

한글 문서 아이콘으로 위장한 파일은 Nemty 2.5 랜섬웨어이며, 악성파일 실행 시 사용자의 파일을 암호화한다. 

 

[그림 6] 암호화된 파일 목록

 

마지막으로 랜섬 노트를 통해 감염 사실과 복구 방법을 안내한다.

 

[그림 7] Nemty 2.5 랜섬 노트

  

4. 결론

해당 피싱 메일같은 경우 공정거래위원회를 사칭하는 정교한 메일을 구성하였기 때문에 피해가 발생 될 가능성이 높다. 현재 공정거래위원회는 법 위반 행위 조사와 관련된 조사 공문을 이메일로 발송하지 않고, 조사현장에서 공무원 증과 함께 서면으로 전달한다고 공지하고 있기 때문에 피싱 메일에 속지 않도록 하여야 한다.

피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 백신 제품을 설치하고 꾸준히 업데이트 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.

 

 

[그림 8] TACHYON Endpoint Security 5.0 진단 및 치료 화면