본문 바로가기

벌새::Analysis

Spam 이메일 : Problem with your payment (2010.6.16)

해외 인터넷 전화 서비스 Skype에서 발송한 이메일로 위장한 악성 스팸(Spam) 메일이 국내에 대량으로 유포되고 있으므로 주의하시기 바랍니다.
 

해당 이메일은 오늘 확인된 Facebook 이메일과 동일한 형태로 구성되어 있으므로 참고하시기 바랍니다.

 

● 제목 : Problem with your payment

● 첨부 파일 : Skype.html

Hi there ㅇㅇㅇ,

Unfortunately, your payment failed, but dont worry, we didnt deduct any money from your card.

Here are your order details:

- Skype Name: mayday6365
- Total amount: $73.00
- Transaction date: Wed, 16 Jun 2010 14:15:08 +0900
- Order number: 691184732
- Order status: Refused

Proceed to view full message : open attached file - Skype.html


해당 이메일은 금전 관련 지불에 문제가 발생하였다는 내용을 통하여 Skype.html 첨부 파일을 수신자가 열어보도록 유도를 하고 있습니다.

Skype.html

첨부된 Skype.html 소스는 facebook.html 파일과 완전히 동일한 스크립트로 구성되어 있으며, NOD32 보안 제품은 JS/TrojanDownloader.Pegel.BR 진단명으로 진단하고 있습니다.

[Skype.html 접근 경로]

h**p://kend******.net/zx.htm
 - <iframe> h**p://blog.power*********.com:8080/index.php?pid=10
 - <refresh> h**p://mousewall.com/secure.php?cmd=home


해당 첨부 파일을 실행할 경우 동일하게 악성 iframe과 특정 인터넷 쇼핑몰로 연결이 이루어지고 있습니다.

참고로 해당 연결에서 iframe을 통한 악성코드 유포에 PDF 문서에 악성 JavaScript를 포함한 형태로 배포가 이루어지고 있는 것으로 알려져 있습니다.

 

현재 Adobe Reader 제품의 경우 제로데이(0-Day) 보안 취약점이 공개된 상태이며, 6월 29일경에 보안 패치가 제공될 예정이므로 해당 제품군을 사용하시는 분들은 매우 주의하시기 바랍니다.