2019-08-20 20:23 (화)
납품 견적 의뢰서 사칭 정보 탈취 악성코드 유포중…주의
상태바
납품 견적 의뢰서 사칭 정보 탈취 악성코드 유포중…주의
  • 길민권 기자
  • 승인 2019.07.23 00:48
이 기사를 공유합니다

최종 실행되는 FormBook 악성코드, 정보 탈취 기능 등 수행

▲ 납품 견적 의뢰 건을 사칭한 악성 메일
▲ 납품 견적 의뢰 건을 사칭한 악성 메일
최근 납품 견적 의뢰 건을 사칭한 악성 메일이 유포되고 있어 이용자들의 각별한 주의가 필요하다.

이스트시큐리티 시큐리티대응센터(ESRC) 측은 “이번 악성메일은 국문 및 영문으로 유포되었으며, 첨부파일로 ACE, RAR, ZIP 파일의 압축파일을 첨부한 것이 특징”이라며 “메일을 비교해 보면, 메일 제목이나 첨부파일 형식이 동일하며 먼저 영문으로 납품 견적 의뢰 건을 사칭한 악성 메일이 유포된 후, 하루 차이로 국문 메일 유포가 포착되었다”고 설명했다.

메일 분석 결과, 해당 악성 메일을 유포한 제작자가 '소재헌', 'Shinhwa Construction Co., Ltd'로 동일해, 같은 조직이 유포한 것으로 추측할 수 있다.

해당 악성 메일의 첨부 파일들을 압축 해제하면 모두 PDF 파일을 사칭한 악성 EXE 파일을 확인하실 수 있다.

만약 이용자가 견적 의뢰에 대한 자세한 정보를 열람하기 위해 해당 파일을 실행할 경우, C:Users[사용자계정] 아래 경로에 ‘formemememem’ 폴더를 생성하고, 폴더 하위에 ‘formemememem.exe’와 ‘formemememem.vbs’ 파일을 생성한다.

‘formemememem.exe’는 자가 복제된 악성 파일이고, ‘formemememem.vbs’는 자동 실행 레지스트리에 ‘formemememem’ 값으로 자기 자신(formemememem.vbs) 등록 및 자가 복제된 ‘formemememem.exe’ 악성 프로그램을 실행하는 악성 스크립트다.

최종적으로 실행되는 프로세스는 FormBook 악성코드로 정보 탈취 기능 등을 수행한다.

★정보보안 대표 미디어 데일리시큐!★