국내 유명은행 와이즈 토토메일을 사칭한 RemcosRAT 악성 이메일 주의!!
최근 국내 유명 은행 와이즈 토토메일을 사칭한 악성 이메일이 발견되어 사용자들의 주의가 필요합니다.
이번에발견된메일은"와이즈 토토메일"이라는 제목을 사용하며, 실제 해당 은행에서 보내는 와이즈 토토메일과 유사하게 제작되었습니다.
와이즈 토토메일프로그램처럼보이는첨부파일은“PDF문서아이콘”으로위장하여사용자가다운로드하여실행시악성행위를시작합니다.
악성파일은RemcosRat1.7Pro버전으로확인되었으며진단을우회하기위해.NET을 이용하였으나, 내부악성모듈을추출하면버전정보가하드코딩되어있습니다.
Remcos악성코드는명령제어악성코드로,C&C통신이후공격자명령에따라다음과같은기능을수행합니다.
명령어 | 설 명 |
filemgr, upload, rename, deletefile, downloadfromurltofile | 파일관리 (업로드, 다운로드, 파일명변경, 파일삭제) |
regopened, regcreatekey, regeditval, regdelkey, regdelval, regopen, initregedit | 레지스트리 관리(값 및 키 추가, 편집, 이름 바꾸기, 삭제) |
getproclist, prockill | 프로세스 관리 (프로세스 리스트 및 종료) |
keyinput | 키로깅 |
consolecmd, execcom, cmdoutput, sendfiledata | 셸 명령 실행 및 결과 업로드 |
scrcap | 화면 스크린샷 |
OSpower | 시스템 종료 및 재시작 |
이외에도사용자PC에동작중인브라우저(InternetExplorer,Chrome,Firefox)의쿠키데이터와로그인정보를수집합니다.
현재 알약에서는 해당 악성코드에 대해Backdoor.Remcos.A로 탐지 중에 있으며, 관련 IoC는 Threat Inside에서 확인하실 수 있습니다.
