분석 정보/악성코드 분석 정보

[악성코드 분석] Lokibot 악성코드 분석 보고서

TACHYON & ISARC 2020. 2. 27. 11:24

견적 요청서로 위장한 Lokibot 악성코드 유포 주의 

 

최근 국내 특정기업을 사칭해 견적 요청서로 위장한 스피어 피싱 메일이 발견되었다. 스피어 피싱은 특정한 개인이나 회사를 대상으로 공격을 시도하는데, 아래의 악성 메일처럼 정교한 내용으로 첨부된 대용량 악성 파일을 열람하도록 유도한다. 
 

[그림 1] 견적 요청서로 위장한 악성 메일 


 

[그림 2] 구매 주문서로 위장한 악성 메일 

 

첨부 파일은 디스크 이미지 파일(.img) 형식으로 되어있으며 더블 클릭할 경우, 자동으로 마운트 되어 내부에 존재하는 실행파일(‘RFQ_UYK_1DED’, ‘kiriko_492B.exe’)을 볼 수 있다. 이를 견적서와 관련된 파일로 착각해 실행하면 ‘LokiBot’ 악성코드가 실행된다.
 

[그림 3] 악성 실행 파일 

 

실행된 ‘Lokibot’ 악성코드는 웹브라우저, 메일, FTP 클라이언트 등 응용프로그램에 저장된 계정정보를 수집한 뒤, 데이터를 압축 해 c2서버로 전송한다. 이후 c2 서버의 명령에 따라 추가 악성 행위를 할 수 있기 때문에 사용자의 주의가 필요하다. 
 

[그림 4] 정보 탈취

 


위의 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.
 

[그림 5] TACHYON Internet Security 5.0 진단 및 치료 화면