수상한 이토토 사이트을 통해 유포 중인 이모텟(Emotet) 악성코드 주의!

11월 19일 수상한 이토토 사이트들이 대량으로 수신되어 사용자들의 주의가 필요합니다.

[그림1] 수상한토토 사이트

해당 토토 사이트들의 본문은 모두 영문으로 연락을 하라는 내용과 함께 워드파일(.doc)이 첨부되어 있습니다.

첨부된 토토 사이트문서파일을 실행하게 되면, 아래와 같은 안내를 사용자에게 보여주어 공격자가 심어 놓은 매크로를 실행시키도록 유도합니다.

[그림2] 매크로 실행을 유도하는 DOC 파일

매크로는 쓰레기 토토 사이트와 함께 파워쉘을 실행하는 토토 사이트를 포함하고 있습니다.

[그림3] 토토 사이트 매크로가 포함된 워드 파일

파워쉘 실행 코드는 아래의 C&C서버 리스트 목록에 따라 순차적으로 접속하여 C&C서버에서 내려주는 파일을 감염된 로컬PC에 565.exe로 저장하고 실행합니다.

최종 다운로드 되는 페이로드는 Emotet 으로 추정되며 현재는 C&C에 연결이 되지 않아 다운로드 및 실행되지 않지만 만약 연결이 되면 추가 피해가 발행할 수 있기 때문에 사용자의 주의가 필요합니다.

현재 알약에서는Trojan.Downloader.DOC.Gen로 탐지중에 있으며, 관련하여 더 자세한 정보는ThreatInside에서 확인하실 수 있습니다.