본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

기업을 대상으로 유포중인 발주서 피싱 메일 주의!

보안공지 2021-11-25


 

기업들을 대상으로 발주서를 위장한 피싱 메일이 유포중에 있어 사용자들의 주의가 필요합니다. 

이번 피싱메일은 한국예탁결제원의 임직원에게 발주서를 위장하여 유포되었습니다. 

 

[그림 1] 발주서를 위장한 피싱 메일

 

 

해당 피싱 메일은 발주서를 송부한다는 내용과 함께 대용량 파일이 첨부되어 있습니다. 

 

 

[그림 2] 피싱메일에 첨부되어 있는 악성파일

 

 

대용량 첨부파일은 .7z으로 압축되어 있으며, 압축파일 내에는 악성 .exe 파일이 포함되어 있습니다. 

 

해당 악성 .exe 파일을 실행하면 TransactionalFileManager 이름을 가진 악성dll 파일을 로드합니다. 

 

 

[그림 3] 악성 dll 파일 로드

 

[그림 4] 로드된 악성TransactionalFileManager.dll 화면

 

이후 로드 되어진 악성 TransactionalFileManager.dll은 UI.dll 로드 및 실행합니다. 

 

 

[그림5] 인젝션 데이터 일부

 

 

UI.dll 내에는 Formbook의 최종 페이로드가 포함되어 있으며, UI.dll은 실행된 후 자신을 자식프로세스로 생성하고 최종 페이로드인 Formbook을 인젝션하여 실행합니다. 그 후 자기자신을 종료합니다. 

 

 

[그림 6] Formbook 실행 화면

 

 

Formbook 페이로드는 C2 통신 시, 'FBNG' 문자열의 시그니처를 사용하며(ver 4.1), 사용자 브라우저에 저장된 계정정보를 수집합니다. 

 

Formbook 악성코드는 다계층으로 인젝션을 수행하는 특징을 가지며, 사용자 정보 탈취를 주 목적으로 하기 때문에 해당 악성코드에 감염될 경우 정보가 유출되어 추가 피해가 예상됩니다. 

 

사용자 여러분들께서는 출처가 불분명한 사용자에게서 온 이메일 첨부파일의 실행을 지양해 주시기 바라며, 만일 실행이 필요할 경우 반드시 확장자 명을 확인하는 습관을 길러야 하겠습니다. 

 

현재 알약에서는 해당 악성코드에 대해 Trojan.Agent.FormBook으로 탐지중에 있습니다.