‘견적의뢰 건’ 제목의 악성 이메일이 기업을 상대로 다수 유포되고 있다. 작년 하반기부터 현재까지 이어지고 있는 이 악성 스팸메일 공격은 사용자 계정을 탈취할 목적으로 불특정 다수 기업에게 유포되고 있다. 사용자의 회사 메일 계정을 탈취하기 위해 피싱 웹페이지 접속을 유도하거나, 정보유출형 악성코드인 Lokibot 실행파일을 유포하였다. 이메일 제목은 현재까지 ‘견적의뢰 건’ 또는 ‘견적의 건 (날짜)’ 형태가 확인되었다.
아래는 1월 26일 언론사에 발송된 이메일이다.

이메일은 2개의 HTML 페이지를 첨부파일로 첨부하고 있다. 제목만 다른 동일한 파일이고, 브라우저를 이용해 페이지를 실행하면 내부에 삽입된 스크립트를 통해 악성 웹 페이지 주소로 리다이렉트된다. 접속 주소는 사용자 이메일 계정 정보를 입력하는 피싱 웹페이지이다. 공격자는 dynamics.com 과 appdomain.cloud 와 같은 도메인 서비스를 이용하여 사용자가 피싱 웹페이지에 접속하게 하였다. 현재는 접속 불가하다.


‘견적의뢰 건’ 제목으로 유포된 이메일은 본문 내용은 모두 유사하지만 피싱 웹페이지 외에 다른 형태로도 악성코드를 유포하였다. 아래는 작년 12월과 올해 1월 기업을 대상으로 발송된 이메일이다. 사용자 정보유출 악성코드인 Lokibot 파일을 cab 파일에 압축하여 유포하거나, 첨부 파일 없이 메일 본문에 피싱 웹페이지로 접속하는 링크를 포함하는 유형이 확인되었다.
공격자는 악성 이메일 발신 주소를 임의로 변경하여 발송하였고, 본문 내용 하단에는 실제 존재하는 기업 정보를 서명 정보로 추가하여 내용의 신뢰성을 높였다. 이메일 내용만으로는 명확히 악성 이메일 여부를 판단하기 어렵기 때문에, 무엇보다 사용자의 주의가 매우 필요한 부분이다.
안랩 V3 제품에서는 사전에 인지하고 있는 악성 피싱 웹페이지로 사용자사 접속할 때 이를 차단한다. 또한 이메일에 첨부되있는 악성 실행 파일을 진단한다.
[관련 IoC]
hxxp://3ed0f0b3374045c6a070fab2ff5b7cb9.svc.dynamics.com/t/r/9GdzKEPlbJOQ7lLvUCw4HVvEfzi6kDuLh-WBcg-1530
hxxp://74979917813600271.eu-gb.cf.appdomain.cloud
c3d7bc074471fec9ba09563d32ea1661
205d61917224948322a8967b297a0b58
Categories:악성코드 정보