잉카인터넷 대응팀은 "비자(VISA) 신용카드와 관련된 내용으로 고객들을 현혹"시켜 악성파일에 감염되도록 유도하는 악의적 이메일이 해외에서 유포된 정황을 발견하였다. 이러한 이메일은 국제적으로 발송되는 것이 보편적이라는 점에서 국내 이용자들도 조심하는 것이 좋다. 대표적인 이메일 속임수 사기수법으로는 국제배송업체 운송장 내용이나 SNS 암호 변경 요청, 비행기 티켓 예매, 사진파일 첨부 등으로 위장한 사례가 많은 편이다. 금번 발견된 경우는 많은 이용자들이 사용하고 있는 신용카드와 관련된 민감한 부분을 사용하고 있다는 점에서 유사한 위협에 노출되어 예기치 못한 피해를 입지 않도록 각별한 관심과 주의가 요망된다.
또한, 이러한 악성 이메일은 불특정 다수에게 SPAM 메일처럼 다량으로 발송되는 경우가 많다는 점에서 지능형지속위협(APT) 형태의 표적공격과는 구분되며, 악성파일 감염 컴퓨터가 본의 아니게 또 다른 발송지로 악용될 소지가 있을 수 있다는 것을 명심하여야 한다.
☞ http://erteam.nprotect.com/299
[주의]사진파일로 위장잠입 시도하는 악성 이메일 국내발견 증가
☞ http://erteam.nprotect.com/286
[주의]이메일 형태로 위장한 악성파일 유포 기승
☞ http://erteam.nprotect.com/161
[주의]유명 물류 배송을 사칭한 용감한 녀석들!
☞ http://erteam.nprotect.com/273
2. 악성파일 전파 과정
우선 악성파일은 다음과 같은 이메일의 첨부파일로 전파되며, VISA 신용카드 관련 내용으로 대부분 조작되어 있고, 발신지가 LinkedIn Passowrd 라고 위장된 점도 특징이다. 만약 우연하게도 수신자가 링크드인 서비스와 비자 카드를 동시에 사용하는 경우는 자칫 신뢰할 수 있는 이메일로 잘못 인식하여 악성 첨부파일을 열람하는 과오를 범하게 될 수 있다는 점을 유념해야 한다.
이메일 형식은 다음과 같다.
보낸 사람 :
LinkedIn Password (password@linkedin.com) -> 조작된 발신지 이메일
Your credit card has been blocked
내용 :
Dear Client,
CAUTION: Your credit card is locked!
Your credit card was withdrawn $ 424,13
Possibly illegal operation!
More info in the attached file.
Immediately contact your bank .
Best Wishes, VISA Customer Services.
첨부 :
VisaCard-N47619822.zip
이메일에 첨부되어 있는 "VisaCard-N47619822.zip" 압축파일 내부에는 "VISA_ID48832743.exe" 라는 이름의 악성파일이 포함되어 있으며, 아이콘은 마치 MS Word 문서처럼 보이도록 하기 위해서 조작되어 있지만, 선명도가 매우 낮다.
사용자가 "VISA_ID48832743.exe" 파일을 실행하면 악성파일에 감염되며, 아래와 같이 [Application Data] 경로에 복사본을 생성하고 실행한다.
그런 후에 정상프로세스인 Explorer.exe 파일을 실행하여, 다수의 특정 호스트로 순차적 접속을 시도하고, C&C 서버와의 통신에 따라서 다양한 악성행위를 수행 시도하게 된다.
아래 화면은 다양한 IP 주소로 접속을 시도하고, 최종적으로 특정 호스트로 접속된 것을 확인할 수 있는 이미지이다.
3. 마무리
이처럼 정상적인 신용카드 내용처럼 위장하여 사용자들을 현혹하거나 마치 정상적인 이메일 안내 내용처럼 보이도록 하여 알려지지 않은 악성파일을 설치하는 사례가 지속적으로 발견되고 있다. 따라서 사용자 스스로 이와 유사한 보안위협에 노출되지 않도록 각별한 주의와 관심을 가지는 것이 중요하다.
위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.
▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [이슈]맥과 윈도우를 복합적으로 겨냥한 Multi APT 공격 등장 (1) | 2012.07.03 |
|---|---|
| [긴급]CVE-2012-1889, Zero-Day 공격 증가 주의 Fix it 권고 (2) | 2012.06.29 |
| [긴급]국내 유명 포털을 표적으로 한 APT 공격 발견 (#Update 02) (1) | 2012.06.29 |
| [주의]온라인 게임사이트로 사칭한 용의주도한 악성파일 (0) | 2012.06.26 |
| [정보]스마트폰 기기 정보 확인 도구로 위장한 악성 애플리케이션 (0) | 2012.06.20 |