국세청 사칭 메일을 통해 Lokibot 악성코드 유포 중

ASEC 분석팀은 최근 홈택스를 사칭한 악성 메일이 꾸준히 유포되고 있음을 확인하였다. 메일 발신인의 주소는 지난해와 마찬가지로 홈택스를 위장한 hometaxadmin@hometax.go[.]kr, hometaxadmin@hometax[.]kr 이며 본문 내용 역시 전자 세금 계산서 관련 내용이 포함되어 있다.

그림 1. 유포중인 메일1
그림 2. 유포중인 메일2

해당 유형의 메일은 과거부터 꾸준히 유포되고 있으며, 지난해 ‘국세청 ‘전자세금계산서’ 사칭한 Lokibot 유포’ 글에 공유된 사칭 메일의 경우 악성 매크로가 포함된 PPT 파일이 첨부되어 있었으나 최근에는 악성 실행 파일을 압축한 형태로 유포되고 있다.

메일에 첨부된 압축 파일 내부에는 아래와 같이 실행 파일이 존재한다. 파일명에 메일 본문에 작성된 발행일과 동일한 날짜를 포함하는 형태로 이루어져있다.

그림3. 메일에 첨부된 압축파일
그림4. 압축파일 내부에 존재하는 exe 파일

해당 첨부 파일 모두 Lokibot 악성코드로이다. 다만, 각 파일은 VB와 NSIS 형태로 공격자가 다양한 형태로 악성코드를 제작하고 있는 것으로 보인다. 파일 실행 시 웹 브라우저, 메일 클라이언트, FTP 클라이언트 등의 프로그램들에 대한 정보를 hxxp://63.250.34[.]171/tickets.php 로 전송한다.

이처럼 국세청을 사칭한 악성코드 유포는 과거부터 지속적으로 이루어지고 있어 사용자의 각별한 주의가 요구된다. 특히, 발신인의 주소가 실제 국세청 페이지의 주소와 유사하기 때문에 사용자가 피싱 메일 임을 인지하기 어렵다. 메일에 첨부된 파일을 바로 실행하는 것을 자제하고 백신 프로그램 등을 통한 검사가 필요하다.

[V3 진단]

  • Trojan/Win.VBKrypt.R454818
  • Malware/Win.Generic.C4802414

[관련 IOC 정보]

  • e779a8be256d298c6d96884724d7792b
  • 9ff3b37069e0772af03732b022c02789
  • hxxp://63.250.34.171/tickets.php

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:,

0 0 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments