1월 말부터 이모텟(emotet) 악성코드가 대량으로 유포중에 있어 각별한 주의가 요구된다.

이메일에는 별다른 내용 없이 첨부되어 있는 압축파일의 패스워드만 적혀있다.

압축파일 내에는 매크로가 포함된 엑셀 파일이 포함되어 있으며, 문서가 보호되어있다며 사용자가 '콘텐츠 사용' 버튼을 클릭하도록 유도한다.

엑셀파일에는 매크로 악성파일이 포함되어 있으며, 매크로는 특정 사이트에서 html을 hta 형식으로 실행한다.

html은 난독화 되어 있으며, 내부에 포함된 파워쉘 스크립트를 실행한다

파워쉘 스크립트는 se.png 명의 파일을 내려받는다. 해당 파일은 .png 파일을 위장한 파워쉘 스크립트다. 해당 스크립트는 내려받음과 동시에 실행이 되며, 내부에 포함되어 있는 12개의 링크 중에서 접속이 성공하는 주소에 접속해 QWER.dll 파일을 내려받아 실행한다.

최종적으로 내려받은 dll은 이모텟 악성코드로 rundll32를 통해 실행되어 사용자 정보 탈취 등 악성행위를 실행한다.

이스트시큐리티 시큐리티대응센터는 “최근 이메일 첨부파일을 통한 이모텟(Emotet) 유포 건수가 급증하고 있다. 수상한 이메일을 수신했다면 즉시 삭제할 것을 권고한다”고 당부했다.

★정보보안 대표 미디어 데일리시큐!★