울지않는벌새 : Security, Movie & Society

Spam 메일 : see details of invoice (2014.1.10)

벌새::Analysis

최근에 고객 주문과 관련된 송장으로 위장한 악성 ZIP 압축 파일을 다운로드하여 시스템 감염을 유발하는 스팸(Spam) 메일이 국내에도 전파되었던 것으로 확인되고 있습니다.

■ 메일 제목 : see details of invoice

 

Hello client
We have got your order and we will process it shortly.
The specification of the invoice are below:
h**p://sugarplumcandy.com/case/r27836.238.zip
Yourth faithfully,
Aiden Forman

 

수신된 이메일은 첨부 파일 방식이 아닌 GoDaddy 웹 호스팅을 이용하는 특정 URL 주소로부터 다양한 ZIP 압축 파일을 다운로드하도록 되어 있습니다.

  • ZIP 압축 파일(SHA-1 : 92d9a9aa13636cfa540330842b31e0a472d3ce8f)
  • ZIP 압축 파일(SHA-1 : 1ecdbf81c32dca890f11b1024eccfa93a492d3a1)
  • ZIP 압축 파일(SHA-1 : ac9ef72f34b6dabc73359df5c45baeca1968d455)
  • ZIP 압축 파일(SHA-1 : e2f667acc5c474e451ec5043fe4e470d306de8fb)
  • ZIP 압축 파일(SHA-1 : e2ae68ab5ef0dd2c33da7a3085b6a01932a79d05)

확인된 ZIP 압축 파일의 내부에는 "(파일명).pdf(공란).exe" 패턴을 가지는 실행 파일을 통해 Windows 탐색기 기본 옵션에서는 PDF 문서 파일로 보이도록 위장하고 있으며, PDF 확장자 뒤에는 긴 공란 처리를 통해 exe 확장자를 확인하기 어렵게 파일을 구성하고 있는 것이 특징입니다.

 

이들 ZIP 압축 파일에 대하여 Avira(TR/Dofoil.A.45), BitDefender(Trojan.Agent.BBDR), ESET(Win32/TrojanDownloader.Zurgop.BH), Sophos(Mal/BredoZp-B), Trend Micro(TROJ_BOKOX.A) 등의 보안 제품에서 진단이 이루어지고 있으며, 감염된 환경에서는 추가적인 악성 파일 다운로드를 통해 악의적 기능을 수행할 것으로 추정됩니다.

 

그러므로 메일을 통해 제시되는 링크를 통해 압축 파일을 다운로드하도록 유도할 경우에는 호기심이라도 다운로드하여 실행하는 일이 없도록 주의하시기 바랍니다.