분석 정보/악성코드 분석 정보

[악성코드 분석] 코로나19 이슈 관련 피싱 메일 주의

TACHYON & ISARC 2020. 3. 13. 09:56

코로나19 이슈 관련 피싱 메일 주의 

 

코로나19 바이러스 사태가 발생하자 이와 관련된 내용으로 피싱 메일이 유포되고 있어 사용자들의 주의가 필요하다. 
아래의 피싱 메일은 미국의 질병 통제 예방 센터(CDC)를 사칭하고 있으며 코로나19 안전 대책 및 기존 사례의 정보가 담긴 악성 첨부 파일을 다운 및 실행하도록 유도하고 있다. 
 

[그림 1] 코로나19 관련 피싱 메일 



 첨부된 파일에는 화면 보호기(.scr)파일로 위장한 악성코드가 존재하는데, 해당 악성코드는 원격 명령 수행, 키로깅, 화면 캡처, 화면 녹화, 파일 다운로드 등 악성 행위를 할 수 있는 ‘Remcos RAT’ 악성코드이다. 
 

[그림 2] 악성 첨부 파일 

 

또한 아래의 피싱 메일들은 코로나 바이러스 감염자 확인 자료, 세계 보건 기구 WHO를 사칭한 코로나 바이러스 발병에 대한 최신 업데이트 자료의 내용으로 첨부 파일을 실행하도록 유도하고 있다. 
 

[그림 3] 코로나19 관련 피싱 메일



[그림 4] 코로나19 관련 피싱 메일 

 

첨부된 파일에는 exe 확장자의 실행 파일이 존재하는데 이를 코로나19 관련 파일로 착각해 실행하면 ‘Formbook’ 악성코드가 실행된다. ‘Formbook’ 악성코드는 정상 프로세스에 인젝션 되어 사용자 계정 정보와 키로그, 클립보드, 화면 캡처 내용을 각각 ini 확장자의 파일로 저장해 C2서버로 전송하는 특징을 갖고 있다. 

  

[그림 5] 악성 첨부 파일 

 

근래 최대 이슈인 코로나19 바이러스와 관련해 피싱 메일이 유포되고 있는 가운데, 사용자는 이와 관련된 이메일의 첨부파일을 열람할 경우 각별한 주의가 필요하며 설치된 안티바이러스 제품을 최신 버전으로 업데이트할 것을 권고한다.
위의 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.


 

[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면