2022-07-02 21:10 (토)
법원명령으로 위장한 피싱메일 통해 유포되는 악성코드 주의
상태바
법원명령으로 위장한 피싱메일 통해 유포되는 악성코드 주의
  • 길민권 기자
  • 승인 2021.12.09 16:17
이 기사를 공유합니다

법원 명령을 위장한 실제 피싱 메일(출처=이스트시큐리티)
법원 명령을 위장한 실제 피싱 메일(출처=이스트시큐리티)

법원명령으로 위장한 피싱 메일이 유포되고 있다. 각별한 주의가 필요하다.

이스트시큐리티 ESRC(시큐리티 대응센터)에 따르면, 이번 피싱 메일은 '법원 명령' 제목으로 유포되고 있다. 다만 이메일 본문은 어색한 한글로 작성되어 있으며, 번역기를 돌려 유포한 것으로 추정다. 내용은 12월 9일 목요일날 법원에 첨부되어 있는 파일을 제출해야 한다는 내용이다.

이메일이 너무 서툰 한국어로 작성되어 있지만 보낸 사람의 이메일이 실제 모 법률사무소의 이메일이라 실제로 첨부파일을 실행하는 사람들이 있을 것으로 추정된다.

이메일에는 rar 파일이 첨부되어 있으며, 압축파일 내에는 .exe 파일이 포함되어 있다.

만일 사용자가 압축파일에 포함되어 있는 .exe파일을 실행하면 %temp% 경로에 폴더를 생성하고 dll 파일을 드롭한다.

드롭된 dll 파일은 난독화된 데이터를 생성하고, 연산을 통해 난독화 된 데이터를 exe파일형태로 변환해 실행하는데, 최종적으로 실행되는 악성파일이 Formbook 악성코드다.

Formbook 악성코드가 실행되면 다음 프로세스 리스트 중 하나의 프로세스를 랜덤하게 골라 인젝션을 시도한다.

프로세스에 인젝션이 성공하면 악성행위를 시작하며, C2리스트들에 접속을 시도하며 연결되는 C2리스트가 있을 시 접속된 C2서버로부터 실제 C2서버주소를 받아 연결을 시도한다. 하지만 분석결과, 리스트에 있는 모든 C2에 접속이 불가해 실제 C2서버 주소의 확인이 불가능 했다.

피싱메일 발송에 악용된 이메일 소유자의 계정이 해킹 당한것으로 보이며, 공격자는 해킹된 계정을 통해 실제 법률사무소를 사칭한 피싱 메일을 유포하는 것으로 추정된다.

ESRC는 “기업 메일 사용자는 계정관리에 주의를 기울여야 하며 되도록이면 이중인증을 통해 계정보안을 강화할 것”을 권고했다.

★정보보안 대표 미디어 데일리시큐!★