최근 사용자 정보 탈취 악성코드를 다운로드 하는 ‘견적 요청서’ 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다.

이번에 발견된 악성 메일 본문에는 “첨부한 샘플과 사양에 따라 긴급한 요구 사항이 있다”고 영문으로 작성되어있고 첨부 파일의 실행을 유도합니다.

[그림 1] 수신된 메일

첨부 파일 ‘Quotation.zip’ 에는 실행 파일인 ‘Darfile.exe’ 파일이 담겨져 있습니다.

[그림 2] 첨부된 ‘Quotation.zip’ 파일

만약 이용자가 실행할 경우, %temp%폴더 아래에 ‘subfolder’ 이름의 폴더를 생성 한 후 자신을 복사한 파일인 Dar.exe와 Dar.vbs 파일을 드롭 한 후 실행 합니다.

[그림 3] 파일 드롭 화면

Dar.vbs 파일의 내용은 아래와 같으며, 레지스트리에 등록 하는 코드가 있습니다. 이는 재부팅 시에도 Dar.exe 파일을 실행시키기 위함입니다.

[그림 4] ‘Dar.vbs’ 코드

자가 복제된 Dar.exe 파일은 프로세스 인젝션 후, 정보 탈취 기능을 수행합니다.  

관련하여 9월20일에도 비슷한 종류의 이메일이 아래와 같이 유포되었습니다.

[그림 5] 가격 요청서 악성 메일

[그림 6] 견적 요청서 악성 메일

따라서 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근을 삼가하시고, 검증되지 않은 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부 검사를 수행해주시기 바랍니다.

현재 알약에서는 관련 샘플을 'Trojan.Agent.FormBook'으로 진단하고 있습니다.