사용자 정보 탈취 목적의 악성 레이싱 토토 첨부된 메일 주의

최근 사용자 정보 탈취 악성코드를 다운로드 하는 ‘견적 요청서’ 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다.

이번에 발견된 악성 메일 본문에는 “첨부한 샘플과 사양에 따라 긴급한 요구 사항이 있다”고 영문으로 작성되어있고 첨부 레이싱 토토의 실행을 유도합니다.

[그림 1] 수신된 레이싱 토토

첨부 파일 ‘Quotation.zip’ 에는 실행 파일인 ‘Darfile.exe’ 레이싱 토토 담겨져 있습니다.

[그림 2] 첨부된 ‘Quotation.zip’ 레이싱 토토

만약 이용자가 실행할 경우, %temp%폴더 아래에 ‘subfolder’ 이름의 폴더를 생성 한 후 자신을 복사한 레이싱 토토인 Dar.exe와 Dar.vbs 레이싱 토토을 드롭 한 후 실행 합니다.

[그림 3] 레이싱 토토 드롭 화면

Dar.vbs 레이싱 토토의 내용은 아래와 같으며, 레지스트리에 등록 하는 코드가 있습니다. 이는 재부팅 시에도 Dar.exe 레이싱 토토을 실행시키기 위함입니다.

[그림 4] ‘Dar.vbs’ 코드

자가 복제된 Dar.exe 레이싱 토토은 프로세스 인젝션 후, 정보 탈취 기능을 수행합니다.

관련하여 9월20일에도 비슷한 종류의 이레이싱 토토이 아래와 같이 유포되었습니다.

[그림 5] 가격 요청서 악성 레이싱 토토

[그림 6] 견적 요청서 악성 레이싱 토토

따라서 출처가 불분명한 메일에 있는 첨부레이싱 토토 혹은 링크에 대해 접근을 삼가하시고, 검증되지 않은 레이싱 토토을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부 검사를 수행해주시기 바랍니다.

현재 알약에서는 관련 샘플을 'Trojan.Agent.FormBook'으로 진단하고 있습니다.