스팸메일

기업 대상 <견적의뢰 건> 제목의 이메일 주의

‘견적의뢰 건’ 제목의 악성 이메일이 기업을 상대로 다수 유포되고 있다. 작년 하반기부터 현재까지 이어지고 있는 이 악성 스팸메일 공격은 사용자 계정을 탈취할 목적으로 불특정 다수 기업에게 유포되고 있다. 사용자의 회사 메일 계정을 탈취하기 위해 피싱 웹페이지 접속을 유도하거나, 정보유출형 악성코드인 Lokibot 실행파일을 유포하였다. 이메일 제목은 현재까지 ‘견적의뢰 건’ 또는 ‘견적의 건 (날짜)’ 형태가 확인되었다. 아래는 1월 26일 언론사에 발송된 이메일이다. 이메일은 2개의 HTML 페이지를 첨부파일로 첨부하고 있다. 제목만 다른 동일한 파일이고, 브라우저를 이용해 페이지를 실행하면 내부에 삽입된 스크립트를 통해 악성…

스팸 메일로 유포 중인 Remcos RAT 악성코드

Remcos는 RAT(Remote Administration Tool) 악성코드로서 수년 전부터 스팸 메일을 통해 꾸준히 유포되고 있다. Remcos는 제작자가 아래와 같은 웹 사이트를 통해 원격 관리를 위한 RAT 도구로 설명하면서 판매하고 있으며 최신까지도 주기적으로 업데이트 되고 있다. Remcos 홈페이지에서 설명하는 기능들만 본다면 원격 지원을 위한 목적으로 또는 도난 시 민감한 데이터를 삭제하거나 추적하는 목적으로도 사용 가능하다고 적혀져 있다. 물론 이러한 기능들이 지원되는 것은 사실이다. 하지만 키로깅, 스크린샷 캡쳐, 웹캠 및 마이크 제어뿐만 아니라 설치된 시스템에 존재하는 웹 브라우저의 히스토리 및 비밀번호 추출 기능과 같은…

스팸 메일을 통해 유포 중인 Azorult 인포스틸러

ASEC 분석팀은 최근 Azorult 인포스틸러가 스팸 메일을 통해 유포되고 있는 것을 확인하였다. Azorult는 C&C 서버에 접속하여 정보 유출 행위에 사용되는 DLL들과 명령을 받아온 후 사용자 계정 정보 및 사용자 데이터 파일들과 같은 정보를 탈취해 C&C 서버에 유출하는 인포스틸러 악성코드이다. 정보 유출 대상으로는 웹 브라우저, 이메일 클라이언트 등의 계정 정보 외에도 스크린샷이나 코인, 나아가 공격자가 지정한 특정 경로의 특정 확장자를 갖는 파일도 수집 대상이 될 수 있다. 명령 중에는 추가 악성코드 다운로드를 위한 명령도 지원하는데 이에 따라 다운로더 역할도 수행할 수…

비트코인 노리는 협박메일, 공공기관과 기업 대상으로 글로벌 유포 중

비트코인을 노리는 협박성 스팸 메일이 공공기관과 기업을 대상으로 글로벌하게 유포 중이다. 스팸 메일은 2020년 3월부터 10월 현재까지 지속적으로 확인되었다. 동일한 내용이 한국어, 영어, 러시아어, 스페인어 등 다국어로 번역되어 관공서, 대학교, 사기업을 포함해 각국에 유포되고 있다. 스팸 메일은 본문 내용만 있고 별도의 첨부파일이나 악성코드는 포함되어있지 않다. 다만 메일 내용이 공격 대상에게 충격과 공포를 일으킬 수 있는 협박을 하고 있고, 비트코인 입금을 요구하고 있기 때문에 속지 않도록 주의가 필요하다. 아래는 협박 메일의 제목이다. 계약에 따른 지불. Yoúr accoúnt has sígns of hackíng…

암호 걸린 첨부 파일로 유포 중인 Emotet 악성코드

ASEC 분석팀은 메일에 암호 걸린 압축 파일로 첨부되어 이모텟(Emotet) 악성코드가 유포 중인 것을 확인하였다. 메일 본문에 압축 파일을 풀기 위한 암호가 적혀있어서, 메일을 수신한 사람만 파일을 실행할 수 있다. 또한 압축 파일 내의 파일을 안티바이러스 제품에서 탐지하고 있더라도, 압축 파일 자체에 암호가 걸려있기 때문에 암호 해제 전까지는 자동으로 탐지가 어렵다. 메일은 10월 17일 발송되었고, 다음과 같이 기업 관계자를 위장하고 있다. 첨부된 파일은 압축 파일로서, 압축 해제 시 ‘MYTNXTOJ3 202010月17.doc’ 이름의 워드 파일이 존재한다. ‘MYTNXTOJ3 202010月17.doc’ 워드 문서 파일의 내용은 위와…