2019-10-14 16:32 (월)
유출된 소스코드 기반으로 제작된 악성코드 유포 주의
상태바
유출된 소스코드 기반으로 제작된 악성코드 유포 주의
  • 길민권 기자
  • 승인 2019.02.15 17:53
이 기사를 공유합니다

▲ 악성 이메일 화면
▲ 악성 이메일 화면
최근 '모바일 전송 메일'로 위장한 악성코드가 유포되고 있어 사용자들의 각별한 주의가 필요하다.

공격자는 악성코드 xls파일을 첨부해 대량으로 악성 이메일을 유포하고 있다. 해당 파일은 DDE를 통해 악성코드 설치파일을 다운로드한다. 최종 페이로드인 ‘wsus.exe’는 감염된 PC를 통해 원격 제어기능을 한다.

이번 메일은 사용자가 확인 가능한 내용이 없기 때문에 궁금증을 유발시켜 첨부 xls파일 실행을 유도한다. 해당 xls파일 또한 삽입된 매크로가 실행하도록 유도한다.

최종 악성코드를 다운받기 위해 ‘http://update365office.com/agp’와 ‘http://185.17.123.201/dat3.omg’를 통해 나누어 다운로드가 진행된다. 이는 1차 다운로드 파일에서 백신 검사를 통해 최종 페이로드 탐지를 우회하기 위해서다.

최종적으로 실행되는 wsus.exe는 원격제어 악성코드로써 명령줄 실행, 사용자 정보 수집, 권한 상승 등 기능을 수행한다. 추가적으로 이 악성코드는 상업용 원격제어 프로그램인 ‘Ammyy Admin’의 유출된 소스코드를 기반으로 제작되었다.

이스트시큐리티 측은 "출처가 불분명한 사용자에게서 온 이메일에 포함된 하이퍼링크 혹은 첨부파일 클릭을 삼가하고 파일을 실행하기 전에는 백신 프로그램을 이용해 악성 여부를 확인해야 한다"고 강조했다.

★정보보안 대표 미디어 데일리시큐!★