스팸메일

금융사 정보로 위장한 스팸메일

   금융사 계정 정보로 위장하여 악성코드를 유포하는 스팸메일이 확산되어 사용자들의 주의가 필요하다. 이 스팸메일은 아래와 같이 chase사의 사용자 계정 정보와 관련된 내용이지만 Zbot 악성코드가 압축 파일의 형태로 첨부되어 있다. [그림 1] 금융사 정보로 위장한 스팸메일 압축 해제된 파일을 실행하면 C:Documents and Settingsahnmaru78Application Data 폴더에 랜덤한 폴더를 생성한 후 자신을 복사한 후 실행하여 감염시킨다. 또한, 복사한 파일이 부팅 시 실행되도록 레지스트리의 아래 경로에 자신을 등록한다. HKCUSoftwareMicrosoftWindowsCurrentVersionRun{E55555F5-9C43-AD7D-DE5D-26A4FBAA05B6}   그리고 아래와 같이 특정 포트를 방화벽에서 허용하여 안전하게 통신을 할 수 있도록 설정한다. HKLMSYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfileGloballyOpenPortsList14202:UDP “14202:UDP:*:Enabled:UDP 14202” HKLMSYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfileGloballyOpenPortsList17000:TCP “17000:TCP:*:Enabled:TCP 17000”   감염이 완료된 후 악성코드는 다수의 C&C서버로 보이는 IP들에게 데이터를 전송하고 받아오는 등 통신 과정을 반복하고 아래 웹 사이트에서 추가로 악성파일을 다운로드 하여 감염시킨다. * http:// a*********.co.za/pon(2).exe [그림 2] 악성파일 다운로드   추가 감염된 악성코드는…

Bank of America로 위장한 스팸메일

  최근 Bank of America에서 보낸 것으로 위장하여 악성코드를 배포하는 스팸 메일이 발견 되어 사용자들의 주의가 요구된다. 이번에 발견 된 스팸메일은 “You transaction is completed” (당신의 계좌 이체는 성공하였습니다.)라는 제목을 사용하였으며, 본문 내용은 다음과 같다.   [그림 1] Bank of America로 위장한 스팸메일 본문 해당 스팸 메일은 “Receipt of payment is attached.” (영수증은 첨부해드립니다.)라는 표현을 쓰면서 첨부 된 파일의 실행을 유도한다. 첨부 파일은 zip 파일로 되어 있으며, 내부에는 실행 파일 형태로 악성코드가 존재하기 때문에 주의가 필요하다.   또한 “This is an automatically generated email, please do not reply” (이 메일은 자동으로 생성되었으므로, 회신은 하지 말아주세요.)라는 표현을 이용하여, 진짜 알림 메일처럼 회신 금지 메시지를 표시하고 있다. 해당 스팸메일의 발신인은 inco********aw3@gmail.com이라는 구글 gmail 계정을 사용하는 것으로 파악된다.   첨부 파일은 “PAYMENT RECEIPT…

UPS 화물 운송장으로 위장한 스팸메일

   UPS에서 발송한 화물 배송조회 메일로 위장한 악성 스팸 메일이 발견되었다. 이 메일은 발신자 주소를 임의의 메일 계정으로 하여, 악성 html 파일을 첨부한 상태로 불특정 다수에게 배포한 것으로 보인다.   [그림 1] 스팸 메일에 첨부 된 html 파일 html 파일의 링크를 클릭하면 실제 악성코드를 유포하는 사이트로 접속한다. 악성코드 유포 사이트에서 아래와 같이 플러그인 설치 여부를 묻는 창을 보여주고, 설치를 허용하면 악성코드 파일을 다운로드 한다.   [그림 2] 악성코드를 유포하는 웹 사이트   첨부된 파일을 실행하면 아래와 같은 파일들이 생성되며, 레지스트리에 실행 파일을 등록하여 부팅 시 자동으로 실행되도록 한다. 또한 방화벽의 허용 대상 프로그램에 자신을 등록하여, C&C 서버와 통신이 PC 보안설정에 의해 차단되는 것을 방지한다. 그리고 폴더 옵션을 변경하여 윈도우 탐색기에서 보이지 않도록 설정한다.   [파일 생성] C:Documents and Settings[login user]Application…

미국우편공사(USPS)로 위장한 스팸메일

   한국의 우정사업본부와 유사한 기관인 미국우편공사(United States Postal Service)로 위장한 악성 스팸 메일이 발견되었다. USPS에서 발송한 것처럼 위장하기 위해 송신자의 주소를 'reports@usps.com'와 같이 USPS의 도메인을 사칭하였고, 수신자가 메일에 첨부된 악성코드를 실행하도록 유도한다. 메일 제목은 'USPS delivery failure report'를 사용하였으며, 수신된 메일의 본문은 첨부된 파일(LABEL-ID-56723547-GFK72.zip)을 출력하도록 안내하여 첨부파일의 실행을 유도한다.     [메일 본문]   Notification   Our company's courier couldn't make the delivery of package. REASON: Postal code contains an error. LOCATION OF YOUR PARCEL: New York DELIVERY STATUS: sort order SERVICE: One-day Shipping NUMBER OF YOUR PARCEL: 5D61MZ1F2X FEATURES: No Label is enclosed to the letter. Print a label and show it at your post office. An additional information: If the parcel isn't received within 30 working days our…

연말 숙박 예약시 주의사항 (부킹닷컴 사칭 메일)

연말에 휴가를 계획중이라면 예약 관련 내용의 메일을 확인할 경우 주의가 필요하다. 전 세계 26만여개의 숙박업체 예약 서비스를 하고 있는 Booking.com(부킹닷컴)을 사칭한 메일을 통해 악성코드가 유포되고 있다. [그림 1] 부킹닷컴을 사칭한 악성코드 첨부 메일 원본 이러한 스팸 메일은 지난 7월에도 보고된 바 있고, 10월에는 시스코사의 위협 발생 경보에 아래와 같은 허위 호텔 예약 확인이라는 이메일 내용이 공개된 적이 있다. [그림 2] Cisco – Threat Outbreak Alerts: Fake Hotel Reservation Confirmation E-mail Messages 해당 악성코드는 사회공학적 기법을 이용하여 휴가시즌에 주로 메일을 통해 유포되고 있으며, 메일 본문에는 예약 내용 확인을 위해 첨부 파일 실행을 유도하고 있다. 메일에 첨부된 압축 파일을 해제하면 Booking Summary Details.pdf.exe 파일을 확인할 수 있다. 해당 파일을 실행하면 자기 복제 본을 svchost.exe 파일 이름으로 아래와 같이 생성하고 레지스트리 값에 등록하여…