활동을 재개한 이모텟(Emotet) 위너 토토, 국내 유포 정황 포착!

이모텟(Emotet)위너 토토가3개월의휴식기를지나다시유포하기시작하여사용자들의주의가필요합니다.

이모텟위너 토토는2014년처음발견된금융정보탈취위너 토토로서지금까지꾸준히유포중이며,스팸메일의첨부파일로형태로유포됩니다.

유포를재개한이모텟의경우도스팸메일에파일을첨부한형태로유포중이며,첨부되어있는압축파일내에는위너 토토매크로가포함된doc파일이포함되어있습니다.

​

doc 파일을 실행하면, 위너 토토 매크로가 동작하면서 공격자가 미리 지정해 놓은 C&C에 접속하여 위너 토토 dll 파일을 내려받아 실행하는데, 이때 실행하는 doc 파일과 dll 파일의 용량이 500MB이상이라는 특징을 갖고 있습니다.

수상한 파일 실행 전, 파일 크기를 확인하는 방법도 파일의 악성여부를 확인하는 좋은 방법 중 하나라는 점 참고하시기 바라며,현재 알약에서는 최근 해당 위너 토토에 대해Trojan.Downloader.DOC.Gen, Trojan.Agent.Emotet으로 탐지중이며 지속적인 모니터링 중에 있습니다.

감사합니다.

IoC

2148A6A2BEF5A35CE5665CBC12D5E474
17B526011C4771FEF77B0DE07860EA35