프로젝트 제안서를 위장한 피싱 메일 주의

프로젝트 제안서를 위장한 피싱 메일 주의

최근 AhnLab SEcurity intelligence Center(ASEC)에서는 프로젝트 제안서를 위장한 위장한 피싱 메일이 유포되고 있음을 확인했다. 이메일 본문에는 가능한 빨리 제안서와 확정된 배송 일정을 제출해 달라는 내용으로 위장하고 있으며, 첨부된 압축 파일을 다운로드 받도록 유도한다.

 

[그림 1] 피싱 이메일 본문

 

사용자가 첨부된 압축 파일을 다운로드하여 압축을 해제하면, [그림 2]와 같이 제안서로 위장한 JS 악성코드가 존재한다.

 

[그림 2] 압축 파일

 

JS 악성코드는 실행 시 [그림 4]와 같은 PowerShell 명령을 수행한다. PowerShell 스크립트는 JS 파일 내부에 암호화된 SnakeKeylogger 데이터를 인자로 전달받아 복호화한 후, 디스크에 저장하지 않고 메모리 상에서 실행한다.

 

[그림 3] 난독화된 JS 악성코드 중 일부

[그림 4] 난독화된 Powershell 스크립트 중 일부

 

실행된 SnakeKeylogger는 인포스틸러 유형의 악성코드로, 감염된 시스템에서 웹 브라우저 정보, 시스템 정보, 키로깅 데이터 등 다양한 정보를 수집한 후 SMTP 또는 텔레그램을 통해 외부로 전송한다. 사용되는 C2 서버 정보는 아래와 같다.

 

SnakeKeylogger C2

  • Mail Sever : mail.trimnt[.]com
  • ID : nova3@trimnt[.]com
  • Email To : keishstanford5@gmail[.]com

 

[그림 5] SnakeKeylogger 악성코드 Main

 

대응 가이드

 

1. 발신자 확인

  • 발신자의 이메일 주소가 공식적인 도메인인지 확인한다.

 

2. 하이퍼 링크 및 첨부 파일 확인

  • 메일의 본문에 첨부된 이미지 클릭을 유도한 경우, 클릭 전 연결된 URL 정보를 먼저 확인한다. 의심스러운 URL은 보통 공식 페이지가 아닌 다른 경로를 거쳐 최종적으로 정상 페이지로 리다이렉트될 수 있으므로, 이를 주의 깊게 살펴봐야 한다. 또한, 첨부 파일이 있을 경우 의심 스러운 파일 확장자(.exe, .vbs, .js 등)인지 확인한다.

 

3. 민감 정보 입력 주의

  • 로그인 계정 정보와 같은 민감 데이터를 요구하는 경우, 해당 정보를 입력하기 전에 반드시 해당 페이지의 URL이 공식 페이지인지 확인한다. 공식 페이지가 아닌 경우, 의심스러운 URL일 가능성이 높으므로 주의가 필요하다. 특히, 민감 정보를 입력하기 전에 페이지의 보안 인증(HTTPS, 자물쇠 아이콘)을 확인하고, 의심스러운 경우 절대 정보를 입력하지 않도록 한다.

MD5

0cbfcc3573399368a2a9abcfa42af134

AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.