정상 보안메일과 동일한 프로세스로 작동
사용자 정보 유출하는 악성코드 설치
사용자 정보 유출하는 악성코드 설치
[데이터넷] KEB하나은행 보안메일을 위장한 악성메일이 유포되고 있어 사용자들의 각별한 주의가 요구된다.
이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 이 메일에는 html 파일이 첨부돼 있으며, 이를 클릭하면 정상적인 보안 이메일과 동일하게 생년월일 6자리를 입력하라는 페이지가 뜬다. 패스워드를 입력하면 엑셀 문서가 자동으로 다운로드된다.
엑셀 파일에 악성 매크로가 포함돼 있으며, 매크로를 활성화시키면 마이크로소프트 오피스 컴포넌트 설치 팝업이 뜬다. 이 팝업창은 위장된 것으로, 실제로는 백그라운드에서 ‘%appdata%\\Microsoft\Windows\Templates\’ 경로에 ‘outgoing.dll’ 악성 모듈 드롭 및 ‘glitch’ 파라메터로 ‘EXCEL.exe’ 프로세스에 로드한다.
이 악성파일은 C&C로 컴퓨터 이름과 사용자 이름, 운영체제 정보, 현재 실행 중인 프로세스 이름 등의 시스템 정보를 빼낸다.
ESRC 관계자는 “현재 이 악성메일이 대량으로 유포되고 있어 사용자들은 주의해야 한다”며 “이스트시큐리티 ‘알약’이 이를 탐지하고 있다”고 말했다.
저작권자 © 데이터넷 무단전재 및 재배포 금지