□ 개요
최근 국내에 피싱 메일 속 악성 링크를 통해 대량의 이모텟 악성코드가 유포되고 있어 국내 사용자들의 각별한 주의가 필요하다.
□ 내용
국내에 유포되고 있는 피싱 메일은 계약서 송부, 업무 협조 등의 내용들로 유포되고 있으며, 링크를 클릭하도록 유도하는 피싱 메일이다.
[사례 1] 계약서 관련 피싱 메일 1
[사례 2] 계약서 관련 피싱 메일 2
[사례 3] 베트남 관련 피싱 메일
링크를 클릭하게 되면 메일에서 확인 된 주소가 아닌 다른 악성 주소로 이어져있어 악성 문서를 다운받게 된다.
[그림 1] 메일에서 확인된 주소가 아닌 악성 주소로 이어지는 링크
악성문서를 실행 후 콘텐츠 사용 버튼을 누르면 파워쉘을 통해 이모텟 악성코드를 다운받게 된다.
[그림 2] 악성 매크로가 삽입된 문서 파일
[그림 3] 삽입된 매크로 코드 중 일부
다운받은 이모텟 악성코드는 ' %USERPROFILE%' 경로에 생성되며 자가복제를 진행한다.
[그림 4] '%USERPROFILE%' 경로에 생성된 이모텟 악성코드
추후 이모텟 악성코드는 자동실행 레지스트리 등록, 로컬 시스템 정보 수집, 추가 악성코드 다운로드 등의 악성행위를 진행한다.
최근 다양한 피싱 메일 속 악성링크를 통해 대량의 이모텟 악성코드가 유포되고 있으므로 의심스런 메일 확인 시 메일 발신자에게 메일 발송 여부를 문의하여 진위여부를 주의 깊게 확인해야한다.
□ 바이로봇 업데이트 내역
EML.Agent
W97M.Downloader
Trojan.Win32.Emotet