분석 정보/악성코드 분석 정보

[악성코드 분석] 서류 배송으로 위장한 피싱 메일 주의

TACHYON & ISARC 2020. 4. 16. 11:18

서류 배송으로 위장한 피싱 메일 주의

 

최근 특정 기업을 사칭해 서류 배송 관련 내용으로 위장한 피싱 메일이 발견되어 사용자의 주의가 필요하다. 이번에 발견된 메일의 제목은 ‘[DHL KOREA] 서류 도착 통지’로 되어있으며 잘못된 세관 신고로 인해 첨부파일의 문서를 숙지해달라는 내용으로 첨부파일 실행을 유도하고 있다. 
 

[그림 1] 서류 배송으로 위장한 악성 메일 



첨부 파일은 디스크 이미지 파일(.img) 형식으로 되어있으며 더블 클릭할 경우, 자동으로 마운트 되어 내부에 존재하는 실행 파일(‘DHL Assessment Package.exe’)을 볼 수 있다. 이를 서류 배송 관련 문서로 착각해 실행하면 구글 드라이브에서 암호화된 ‘Formbook’ 악성코드를 다운받고 복호화한 뒤 실행한다.

 

[그림 2] 복호화

 



실행된 ‘Formbook’ 악성코드는 정상 프로세스에 인젝션 되어 웹 브라우저, 메일, FTP 클라이언트 등 응용프로그램에 저장된 계정정보를 수집한 뒤 c2 서버로 전송하기 때문에 계정 정보 탈취에 의한 피해가 발생할 수 있다.
 

 

[그림 3] 정보 수집 



사용자는 출처가 불분명한 파일의 열람을 주의해야 하며 안티바이러스 제품을 설치해 악성코드의 감염을 미리 방지할 수 있다.


위의 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.
 

[그림 4] TACHYON Internet Security 5.0 진단 및 치료 화면 



 

[그림 5] TACHYON Internet Security 5.0 진단 및 치료 화면