[주의] 금융기관 사칭한 악성 피싱 메일
- 첨부된 chm 파일 실행 시 악성 스크립트 실행 -
| ○ | 보안전문기업 ㈜하우리(대표 김희천, www.hauri.co.kr)는 금융기관을 사칭한 피싱 메일이 배포되고 있어 주의가 필요하다고 밝혔다. |
| ○ | 해당 피싱 메일은 금융기관을 사칭하여 "계약현황", "상품계약서", "보험료 자동이체 출금결과 안내", "카드이용한도 조정안내", "세금계산서" 등으로 수신인으로 하여금 첨부파일의 실행을 유도한다. 이런 안내메일들은 일상속에서 많이 받아보는 메일이기 때문에 수신인은 의심없이 첨부파일을 실행할 가능성이 높다. |
| ○ | 또한, 첨부파일 실행 후 가시적으로 이상한 증상이 노출되는 것이 아니기 때문에 수신인의 PC가 감염된 사실을 인지하기 어렵고, 장기간 악성코드가 시스템에 잔존하여 악의적인 행위를 발생할 수 있다. |
| ○ | 발견된 금융기관 사칭 메일은 발신자의 계정을 자세히 보지 않으면 첨부파일의 실행과정까지 어떠한 의심을 할 수 있는 여지가 없기 때문에 악성코드에 감염될 가능성이 높다.
▶ 금융기관을 사칭하여 보내진 스피어피싱 메일
▶ 여러 금융기관을 사칭하여 제작되어진 악성 CHM 첨부파일 |
| ○ | 메일 수신자가 CHM 파일 실행 시 악성 스크립트가 실행되며, 커맨드 명령어에 의해 다음 경로에 Base64 로 인코딩 된 악성코드가 생성된다. 
▶ html 에 삽입된 악성 스크립트 파일
▶ Base64 로 인코딩 된 악성코드(Docs.jse) 악성코드는 부팅 시 자동실행이 되도록 레지스트리에 등록되며, 악성 사이트에 접속하여 추가 악성코드를 다운로드 받도록 되어 있다. 
▶ 디코딩한 악성코드(Docs.jse)
▶ 부팅 시 자동실행 되도록 등록된 악성코드 |
| ○ | 첨부된 CHM 파일 실행 시 출력되는 가짜 금융 관련 화면들
|
| ○ | ㈜하우리 보안대응센터는 "금융기관을 사칭하여 보낸 악성메일이지만, 다른 형태의 안내메일이나 계약, 내역, 영수증 등을 사칭해서도 피싱 메일이 배포될 수 있다. 최근까지 메일을 통한 악성코드 배포가 전체의 70% 이상 수준임으로 수신된 메일을 꼼꼼히 살펴보는 습관과 메일에 첨부된 파일이 특정 확장자(.exe, .chm, .com, .lnk) 이면 실행하지 않고 백신업체로 문의 후 확인해 보는 방법도 피해를 예방하는 방법일 수 있다" 며 주의를 당부했다. |
