송장(Invoice)으로 위장한 악성파일, 매크로 실행하면 사용자 PC 정보 수집

[보안뉴스 원병철 기자] 매크로를 이용한 송장(Invoice) 관련 악성 메일이 국내에 유포되고 있어 주의가 요구되고 있다. 이번에 발견된 악성 메일은 ‘INVOICE #00U9404’라는 제목에 메일 본문에는 ‘Please find attached copy of your latest invoice’ 라는 내용으로 첨부된 파일의 실행을 유도한다.


[이미지=iclickart]

이스트시큐리티의 시큐리티대응센터(이하 ESRC)는 이용자가 첨부 파일 ‘Invoice_no_U9404.doc’를 클릭할 경우 매크로 실행을 유도한다면서 사용자의 주의를 당부했다.


▲수신된 메일[이미지=ESRC]

만약 이용자가 송장에 대한 자세한 정보를 열람하기 위해 매크로를 실행할 경우, 난독화된 스크립트를 이용해 cmd.exe 프로세스를 실행하고, cmd.exe 프로세스는 powershell.exe 프로세스를 이용해 스크립트를 실행한다고 ESRC는 설명했다.


▲매크로 실행을 유도하는 DOC 파일[이미지=ESRC]

또한, ESRC는 스크립트는 공격자가 접속 가능한 C&C 서버를 조회하면서 EMOTET 악성코드 파일을 다운로드한다고 덧붙였다. 분석 시에는 ‘http://vovsigorta.com’ 사이트에 접속 후 %TEMP% 하위 경로에 ‘mjY.exe’라는 이름으로 파일을 다운로드하고 실행했다고 설명했다.


▲난독화된 스크립트 실행 트리[이미지=ESRC]

또한, 다운로드 된 악성코드는 사용자로부터 의심을 피하기 위해 ‘C:\Windows\System32\tlntasp.exe’ 경로에 자가 복제를 한 후 사용자 PC 시스템 정보(프로세스 목록, OS버전, 아키텍처)를 수집하고 C&C(millcreek.cc:7080) 서버로 전송한다.

ESRC는 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근을 삼가하고, 검증되지 않은 파일을 실행하기 전에는 백신 프로그램을 이용해 악성 여부 검사를 수행해 달라며 주의를 요구했다. 한편, 알약에서는 관련 샘플을 ‘Trojan.Agent.Emotet’로 진단하고 있다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>