피싱 메일 주의

 

 

신용카드 거래 영수증을 사칭한 피싱 메일 유포

최근 상품 구매 영수증을 사칭한 피싱 메일이 유포되었다. 해당 메일에는 영수증 번호와 거래 일자, 사용 금액이 상세하게 적혀있어, 사용자로 하여금 첨부된 문서 파일을 클릭하도록 유도한다.

 

 [그림 1] 피싱 메일

 

 

첨부된 파일은 악성 엑셀 문서로 매크로를 활성화하는 ‘콘텐츠 사용’ 버튼을 클릭하고 ‘OPEN & VIEW’ 박스를 클릭하면 매크로를 통한 악성동작이 시작된다.

 

[그림 2] 첨부된 엑셀 문서

 

 

매크로를 통해 원격지 서버에 연결하여 임의의 파일 명으로 %Temp% 경로에 dll 파일을 다운로드한다.

 

[그림 3] 원격지 패킷

 

다운로드된 dll은 정상 파일에 인젝션되어, C2 서버에 연결을 시도한다. 현 분석 시점에는 해당 서버에 연결되지 않는다.

 

[그림 4] 서버 연결

 

최근 피싱 메일은 사용자가 의심하지 않도록 내용이 더욱 정교화되고 있기 때문에, 사용자들은 수신한 메일을 확인할 때에 더욱 주의가 필요하다.