이모텟

원노트(OneNote)로 유포중인 Emotet 악성코드

AhnLab Security Emergency response Center(ASEC)에서는 최근 Emotet 악성코드가 원노트(OneNote)를 통해 유포 중임을 확인하였다. 스피어피싱을 기반으로 시작하는 아래와 같은 이메일을 통해 악성 스크립트 파일(JS 파일)이 포함된 원노트 열람을 유도한다. 원노트 실행 시 문서 열람을 위해 클라우드로 연결하는 버튼 클릭을 유도하며, Next 버튼에는 output1.js 명의 악성 스크립트가 삽입되어있다. 실행된 output1.js 파일은 아래와 같이 문자열 치환 방식으로 난독화되어 있으며, 최종적으로 실행된 스크립트 파일은 지정된 C2에 접속하여 Emotet 악성코드를 다운로드한다. 다운로드 된 Emotet 악성코드는 regsvr32.exe을 통해 실행된다. 최근 원노트를 악용한 악성코드 유포가 빈번히 확인되어…

암호 걸린 첨부 파일로 유포 중인 Emotet 악성코드

ASEC 분석팀은 메일에 암호 걸린 압축 파일로 첨부되어 이모텟(Emotet) 악성코드가 유포 중인 것을 확인하였다. 메일 본문에 압축 파일을 풀기 위한 암호가 적혀있어서, 메일을 수신한 사람만 파일을 실행할 수 있다. 또한 압축 파일 내의 파일을 안티바이러스 제품에서 탐지하고 있더라도, 압축 파일 자체에 암호가 걸려있기 때문에 암호 해제 전까지는 자동으로 탐지가 어렵다. 메일은 10월 17일 발송되었고, 다음과 같이 기업 관계자를 위장하고 있다. 첨부된 파일은 압축 파일로서, 압축 해제 시 ‘MYTNXTOJ3 202010月17.doc’ 이름의 워드 파일이 존재한다. ‘MYTNXTOJ3 202010月17.doc’ 워드 문서 파일의 내용은 위와…

코로나19 보호장비 업체를 가장하여 유포 중인 Emotet 악성코드

ASEC 분석팀은 지난달 Emotet 악성코드가 국내에 유포 중임을 공유하였다. 금일 확인된 피싱 메일에는 코로나19와 관련된 내용을 포함하고 있어 사용자의 각별한 주의가 필요하다. https://asec.ahnlab.com/1358 피싱 메일의 내용을 보면 코로나19 관련한 체온계, 마스크 등 보호장비를 취급하는 업체로 소개하고 있으며, 이러한 보호장비에 대한 관심이 있을 경우 첨부한 문서를 열람하도록 유도한다. 공격자는 최근 국내 코로나19 확진자 증가로 보호장비에 대한 관심이 늘어난 것을 이용한 것으로 추정된다. 메일에 첨부된 파일은 악성 매크로를 포함하고 있는 워드 파일로, 매크로 사용을 유도하고 있다. 악성 매크로는 이전 공유한 Emotet 다운로더와…

5개월만에 돌아온 Emotet 악성코드!! 국내 유포 중

ASEC 분석팀은 금일 Emotet 악성코드가 국내 유포 중인 것을 확인하였다. 뱅킹 악성코드인 Emotet 은 지난 2월을 마지막으로 유포를 중단하였으나, 5개월이 지난 현재 다시 유포를 시작한 것으로 보여 사용자의 주의가 필요하다. 유포 방식은 이전과 동일하게 피싱 메일을 통해 유포되고 있다. 메일의 유형은 세 가지가 존재하는데, 다운로드 링크가 첨부된 형태와 PDF 파일이 첨부된 형태, 악성 문서 파일을 첨부한 형태로 나뉜다. 첨부된 링크는 접속시 악성 문서 파일을 다운로드하게 된다. 메일에는 DOC 파일 뿐만 아니라, PDF 형태의 파일도 첨부되어 유포되고 있다. PDF 파일에는 아래와…