Spam 이메일 : Facebook Password Reset Confirmation! Customer Message

해외 유명 SNS(Social Network Service) 서비스 페이스북(Facebook)에서 발송한 이메일로 위장하여 악성코드를 유포하는 스팸(Spam) 메일을 수신하였습니다.

• Spam 이메일 : Facebook Password Reset Confirmation.Support Message.

● 이메일 제목 : Facebook Password Reset Confirmation! Customer Message

Hey OOO ,

Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.

Thanks,
Your Facebook.

해당 스팸 이메일은 국내 인터넷 사용자에게 심심찮게 수신되는 것으로 알려져 있으며, 페이스북 사용자가 해외에 비해 상대적으로 적은 것을 고려한다면 해당 첨부 파일로 인한 피해는 많지 않으리라 생각됩니다.

페이스북 계정의 비밀번호 교체를 위해 첨부 파일을 실행하도록 안내하고 있는 해당 메일은 Facebook_Support_40378.zip 압축 파일을 해제할 경우, 좌측 그림과 같이 엑셀(Excel) 문서 아이콘을 가진 Facebook_Support_40378.exe 실행 파일을 포함하고 있습니다.

MD5 : 1e928e314624e1c77b0eb5a92c59119e

해당 파일은 avast! 보안제품에서 Win32:Bredolab-BE 진단명으로 진단을 하고 있는 Bredolab 변종으로, 실행시 러시아 서버에 접속하여 추가적인 악성 파일을 다운로드하도록 구성되어 있습니다.

[Facebook_Support_40378.exe]

● 파일 생성

%AppData%\avdrn.dat
%사용자 계정%\시작 메뉴\프로그램\시작프로그램\rarype32.exe

● 네트워크 연결

dollardream.ru:4455

해외에서 발송된 이메일이나 신뢰할 수 없는 이메일에 첨부된 파일은 실행하지 마시고, 반드시 보안업체에 신고하시거나 삭제를 하시기 바랍니다. 만약 해당 첨부 파일이 악성코드인지 확인하기 위해서는 바이러스토탈(VirusTotal)에 해당 파일을 업로드하여 검사해 보시기 바랍니다.