본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

트레소리트(Tresorit) 클라우드 서비스를 이용한 Formbook 악성 이메일 주의!!

보안공지 2021-04-08


 

대표적인 클라우드 서비스 트레소리트(Tresorit)를 이용한 Formbook 악성파일이 유포 중인 정황이 발견되어 사용자들의 주의가 필요합니다.

 

이번에 발견된 악성메일은 "service@dropbox.com shared "Revised_Contract.pdf" to you via Dropbox" 이라는 제목으로 수신되었으며, 본문에 기재된 Dropbox 링크를 통해 허위 견적서 파일을 다운로드하도록 유도합니다.

 

견적서로 위장 된 악성 이메일 화면

 

메일 본문에 기재된 링크는 Dropbox가 아닌 Tresorit 서비스 링크로 연결되며, Formbook 악성 파일이 담긴 압축파일을 다운로드할 수 있습니다.

 

Tresorit 서비스에 업로드 된 악성코드 화면

 

Contract_Signed_20219827304.zip 파일 내부에는 2개의 파일이 포함되며, 파일명만 다른 동일한 해쉬를 가진 파일입니다.

  • Contract_Signed_20219827304.exe
  • Project_20219827304239.exe

압축파일 내부 화면

 

사용자가 압축 파일을 해제하여 실행할 경우, 시스템 정보, 브라우저 크리덴셜 정보, 현재의 화면 스크린샷, 시스템 종료/재시작, 추가 다운로드 기능들을 수행하는 Formbook 악성코드가 동작하게 됩니다.

 

  • C2 정보 : hxxp://www[.]sainworks[.]com/nyk/

 

현재 화면을 스크린샷으로 저장하는 코드 화면

명령 제어 기능을 수행하는 코드 화면

 

Formbook은 정보 수집 및 명령 제어 기능을 수행하는 악성코드로 초기부터 현재까지 유사한 코드로 동작하고 있기 때문에 Formbook에 대한 상세 분석은 아래 링크에서 확인하실 수 있습니다.


Trojan.Agent.FormBook 악성코드 분석 보고서


이와 같이 출처가 불분명한 메일에 기재된 링크는 실행하지 않은 것이 좋으며, 백신의 실시간 감시를 사용하고, 정기적인 검사를 습관화하여야 합니다.

 

현재 알약에서는 'Trojan.Agent.FormBook' 탐지 명으로 탐지 중입니다.

 

바이러스토탈 ALYac 탐지 화면