본문 바로가기

벌새::Analysis

연체 송금, 견적 요청 메일로 위장한 해외 악성 메일 주의 (2020.5.26)

최근 외국어로 작성된 연체 송금, 견적 요청 메일로 위장한 악성 첨부 파일이 동봉된 메일이 국내에서 확인되고 있어 어떤 유형으로 유도하는지 살펴보도록 하겠습니다.

 

1. 메일 제목 : IMPORTANT !!! OVERDUE REMITTANCE - March/April

 

"IMPORTANT !!! OVERDUE REMITTANCE - March/April" 메일

"IMPORTANT !!! OVERDUE REMITTANCE - March/April (중요 !!! 연체 송금 - 3월/4월)" 메일 제목으로 수신된 해당 메일에서는 송장이 정식으로 접수되었으니 메일에 첨부한 파일을 열어 금융 정보를 보내달라는 내용입니다.

 

첨부된 IMPORTANT !!! OVERDUE REMITTANCE - MarchApril.zip 압축 파일 내에는 다음과 같은 악성 파일이 포함되어 있습니다.

 

파일명 IMPORTANT !!! OVERDUE REMITTANCE - MarchApril.exe
SHA-1 d79fff3903466505338b6bbe0dcb92b658068612
진단명 AhnLab V3 : Trojan/Win32.Inject.R338020

 

2. 메일 제목 : Request for Quotation (RFQ 26966)

 

"Request for Quotation (RFQ 26966)" 메일

"Request for Quotation (RFQ 26966) (견적 요청 (RFQ 26966))" 메일 제목으로 수신된 해당 메일에서는 귀사의 고품질 제품을 주문하는데 관심이 있으므로 첨부된 제목 목록을 보도록 유도하고 있습니다.

 

첨부된 Request for Quotation (RFQ 26966).zip 압축 파일 내에는 다음과 같은 악성 파일이 포함되어 있습니다.

 

파일명 Request for Quotation (RFQ 26966).exe
SHA-1 97991ffa66575bb2fb485f0bf38e3331f2bb9174
진단명 Microsoft : Trojan:Win32/Occamy.B

 

위와 같이 악성 파일에 감염된 경우 사용자가 쉽게 확인하기 어려운 위치에 악성 파일을 생성한 후 특정 정보를 수집하여 외부로 유출하거나 추가적인 악성 파일 다운로드를 할 수 있습니다.

 

기본적으로 메일에 첨부된 압축 파일을 올바르게 처리하기 위해서는 단순히 압축 파일을 클릭하여 내부에 존재하는 파일을 바로 실행하기 보다는 압축 파일 내에 존재하는 파일의 최종 파일 확장명을 확인하여 실행 파일(.exe, .scr, .pif 등)인 경우에는 실행하지 않도록 주의하시기 바랍니다.