□ 개요
최근 국내에 국가기관을 사칭하여 악성 메일을 보내는 경우가 많다. 사용자들은 메일을 확인할 때 각별한 주의가 요구된다.
□ 내용
메일 내용에는 공정거래위원회를 사칭하여 '전산 및 비전산자료 보존 요청서.alz' 이름으로 압축파일 형태로 첨부되어 있다.
[그림 1]
공정거래위원회를 사칭한 메일
2개의 파일 모두 아이콘은 PDF, 한컴 이지만 확장자는 .exe으로 되어있고 각각 다른 행위들을 하는 악성코드이다.
[그림 2] 문서파일로 위장한 악성코드
PDF 아이콘으로 된 악성코드 실행시 사용자의 정보(PC 정보, 브라우저 기록, 코인 지갑 등)를 수집한다.
[그림 3] 사용자 정보 수집
수집한 정보들은 (%ProgramData%)\(25자리_랜덤문자열) 에 sqlite 파일 형태로 저장을 한다.
[그림 4] 수집정보 저장
수집된 정보는 다음과 같은 C&C서버로 전송한다.
C&C 서버: hxxp://****animals[.]***/
[그림 5] 수집정보 전송
한컴 아이콘으로 된 악성코드 실행시 사용자의 파일들을 모두 암호화 시킨다.
[그림 6] 파일 암호화
파일들의 복호화를 대가로 돈을 지불하라는 요구를 한다.
[그림 7] Nemty 2.5 랜섬웨어
최근 다양한 방법을 통해 악성 메일이 유포되고 있으므로 첨부파일인 경우 의심부터 하고 메일의 진위여부를 주의 깊게 확인해야한다.
□ 바이로봇 업데이트 내역
Trojan.Win32.Infostealer
Trojan.Win32.Nemty