□ 개요

국세청에서 보낸 전자 세금계산서로 위장한 원격 제어 악성코드가 유포되고 있어 국내 사용자들의 각별한 주의가 필요하다. 

□ 내용

메일 내용에는 국세청에서 발행한 전자 세금계산서로 위장하고 있으며 메일에는 'eTaxInvoice_(숫자).html' 파일이 첨부되어 있다.

[그림 1] 전자 세금계산서로 위장한 메일

첨부된 html 파일을 실행하면 엑셀파일을 다운로드하고 실행한다.

[그림 2] 엑셀파일 다운로드 

다운로드된 엑셀파일이 실행되면 내부에 포함된 매크로를 실행하도록 유도한다.  

 [그림 3] 다운로드한 엑셀파일 실행

매크로를 실행하면 공격자 서버로부터 악성코드를 다운로드 한 후 실행한다.

hxxp://172.xxx.xxx.166/m2          

C:\User\(계정명)\100.exe

다운로드된 100.exe 파일이 실행되면 또다른 공격자 서버로부터 악성코드를 다운로드 한 후 실행한다.

hxxp://66.xx.xx.55/02.dat

C:\ProgramData\NuGets\wsus.exe

다운로드된 wsus.exe 파일은 유출된 Ammyy admin 소스코드로 만들어진 원격 제어 악성코드이다. C&C 서버와 통신하며 사용자 PC를 제어할 수 있다.

C&C : 79.xxx.xxx.132

최근 다양한 악성 메일을 통해 악성코드 감염을 시도하고 있으므로 첨부파일이 포함된 메일의 경우 의심부터 하고 메일의 진위여부를 주의 깊게 확인해야 한다. ​

□ 바이로봇 업데이트 내역

HTML.S.Downloader
X97M.S.Downloader
Trojan.Win32.Agent
Backdoor.Win32.Agent​