특정 기업의 프로젝트 와이즈 토토 위장한 악성 메일 유포 주의

특정 기업의 프로젝트 와이즈 토토 위장한 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다.

이번에 발견된 악성 메일은 ‘(기계설비, 금속구조물)PROJECT.20181012’ 라는 제목으로 메일 본문에는 ‘첨부된 와이즈 토토 참조하여 주시기 바랍니다.’ 라는 내용으로 첨부된 와이즈 토토의 실행을 유도합니다.

[그림 1] 수신된 메일

메일에 첨부된 와이즈 토토 ‘(기계설비,금속구조물)PROJECT.20181012.ace’ 에는 악성 실행 와이즈 토토이있습니다.

[그림 2] 첨부와이즈 토토 ‘(기계설비,금속구조물)PROJECT.20181012.ace’

만약 이용자가 프로젝트에 대한 자세한 정보를 열람하기 위해 실행할 경우, %TEMP% 경로에 ‘Scanned’ 폴더를 생성하고, 폴더 하위에 ‘scanned.exe’와 ‘scanned.vbs’ 와이즈 토토을 생성합니다. ‘scanned.exe’는 자가 복제된 악성 와이즈 토토이고, ‘scanned.vbs’는 자동 실행 레지스트리에 ‘scanned’ 값으로 자기 자신(scanned.vbs) 등록 및 자가 복제된 ‘scanned.exe’ 악성 프로그램을 실행하는 악성 스크립트 입니다.

[그림 3] ‘scanned.vbs’ 실행 코드

‘scanned.vbs’ 코드는 다음과 같습니다.

[그림 4] ‘scanned.vbs’ 코드

최종적으로 실행되는 프로세스(scanned.exe)는 FormBook 와이즈 토토코드로 정보 탈취 기능 등을 수행 합니다.

따라서 출처가 불분명한 메일에 있는 첨부와이즈 토토 혹은 링크에 대해 접근을 삼가하시고, 검증되지 않은 와이즈 토토을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부 검사를 수행해주시기 바랍니다.

현재 알약에서는 관련 샘플을 ’Trojan.Injector.567504B'으로 진단하고 있습니다.