정책결정 의견수렴 요청으로 위장한 피싱메일 주의
Contents
□ 개요
최근 국내에 인터넷주소 정책결정에 대한 국민 의견수렴의 내용으로 위장한 악성메일이 유포되고 있어 국내 사용자들의 각별한 주의가 필요하다.
□ 내용
해당 메일에는 정책결정 의견수렴에 관한 내용으로 첨부파일 실행을 유도하고 있다.
[그림 1] 정책결정 의견수렴 요청으로 위장한 악성메일
첨부된 문서는 암호가 걸려있으며 메일에 포함된 비밀번호를 입력하면 열린다.
[그림 3] 암호가 걸린 문서
문서에는 매크로 실행을 위한 콘텐츠 사용 클릭을 유도하는 내용이 적혀있으며 콘텐츠 사용 클릭 시 내장된 악성 매크로 코드가 실행된다.
[그림 4] 악성 메크로 실행을 위한 콘텐츠 사용 클릭 유도
문서에 내장된 악성 매크로 코드는 실행 시 C&C 서버에 접속 해 인코딩된 악성 PE 데이터를 다운받아 디코딩 후 실행한다. 현재는 해당 서버와 연결되지 않는다.
- C&C : http://1xJOiKZd[.]naveicoipa[.]tech/ACMS/Cjtpp17D/Cjtpp17D32.acm
[그림 5] C&C 서버로부터 악성 데이터를 받아옴
[그림 6] 디코딩 된 PE 데이터를 문서 메모리에서 실행
서버에 정상적으로 접속될 경우 추가적인 악성 행위를 수행한다.
□ 바이로봇 업데이트 내역
W97M.S.Agent
Top
최근 국내에 인터넷주소 정책결정에 대한 국민 의견수렴의 내용으로 위장한 악성메일이 유포되고 있어 국내 사용자들의 각별한 주의가 필요하다.
□ 내용
해당 메일에는 정책결정 의견수렴에 관한 내용으로 첨부파일 실행을 유도하고 있다.
[그림 1] 정책결정 의견수렴 요청으로 위장한 악성메일
첨부된 문서는 암호가 걸려있으며 메일에 포함된 비밀번호를 입력하면 열린다.
[그림 3] 암호가 걸린 문서
문서에는 매크로 실행을 위한 콘텐츠 사용 클릭을 유도하는 내용이 적혀있으며 콘텐츠 사용 클릭 시 내장된 악성 매크로 코드가 실행된다.
[그림 4] 악성 메크로 실행을 위한 콘텐츠 사용 클릭 유도
문서에 내장된 악성 매크로 코드는 실행 시 C&C 서버에 접속 해 인코딩된 악성 PE 데이터를 다운받아 디코딩 후 실행한다. 현재는 해당 서버와 연결되지 않는다.
- C&C : http://1xJOiKZd[.]naveicoipa[.]tech/ACMS/Cjtpp17D/Cjtpp17D32.acm
[그림 5] C&C 서버로부터 악성 데이터를 받아옴
[그림 6] 디코딩 된 PE 데이터를 문서 메모리에서 실행
서버에 정상적으로 접속될 경우 추가적인 악성 행위를 수행한다.
□ 바이로봇 업데이트 내역
W97M.S.Agent
Top
IoC
http://1xJOiKZd.naveicoipa.tech/ACMS/Cjtpp17D/Cjtpp17D32.acm