상품 관련 내용으로 유포되는 해외 토토 사이트 메일 주의

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

최근 국내에 지속적으로 상품 관련 내용으로 해외 토토 사이트 메일이 유포되고 있어 주의를 당부드립니다. 이번에 발견된 해외 토토 사이트 메일은 상품 출고 지연 내용과 함께 선적 서류로 위장한 첨부 파일 실행을 유도하는 내용을 담고 있습니다.

[그림 1] 상품 출고 지연 내용의 해외 토토 사이트 메일

첨부파일에는 해외 토토 사이트 실행 파일 'Shipping Documents.exe'가 있습니다.

[그림 2] 첨부파일 'Shipping Documents.rar'

이용자가 파일 이름만 보고 선적 관련 서류라고 생각해서, 파일을 실행할 경우 해외 토토 사이트코드가 실행됩니다. 'Shipping Documents.exe'는 .NET로 제작되어 있으며, 자기 자신을 자식 프로세스로 실행한 뒤, 정보 탈취 기능을 수행하는 해외 토토 사이트코드를 인젝션합니다. 다음은 인젝션하는 코드의 일부입니다.

[그림 3] 인젝션 코드의 일부

인젝션되어 실행되는 해외 토토 사이트코드는 웹 브라우저에 인라인 후킹을 하고, 입력한 정보를 C&C로 전송합니다. 다음은 C&C로 입력한 정보를 전송하는 화면입니다.

[그림 4] C&C로 정보 보내는 화면

관련하여 유사 해외 토토 사이트 이메일을 확인하던 중, 상품 견적 의뢰 내용으로 첨부 파일 실행을 유도하는 해외 토토 사이트 메일이 추가로 발견되었습니다.

[그림 5] 상품 견적서 위장 해외 토토 사이트 메일

첨부파일에는 국내 특정 기업 이름과 함께 상품 견적 의뢰 대상 문서로 위장한 실행 파일이 있습니다.

[그림 6] 상품 견적서 해외 토토 사이트 메일의 첨부 파일

첨부 파일에 있는 해외 토토 사이트 실행 파일(exe)을 클릭할 경우, 웹 브라우저 및 FTP 정보를 탈취하여 C&C(http://62.108.34.49/1zayee/gate.php)로 전송하는 해외 토토 사이트코드가 실행됩니다.

[그림 7] 정보 전송 코드

최근 지속적으로 상품 관련 내용으로 위장한 해외 토토 사이트 메일이 발견되고 있습니다. 따라서 이용자들은 출처가 불분명한 메일에 있는 링크 혹은 첨부파일에 대해 접근을 삼가주시기 바랍니다. 또한 백신 업데이트 상태를 항상 최신으로 유지해주시기 바랍니다.

현재 알약에서는 관련 해외 토토 사이트코드를 'Trojan.Agent.188416B, Trojan.Agent.717312B'로 진단하고 있습니다.