피싱 메일에 별다른 내용 없이 첨부 압축파일 패스워드 기재

악성 매크로가 포함되어 있는 엑셀 파일, ‘콘텐츠 사용’ 버튼 클릭 유도

최근 이메일 첨부파일 통한 이모텟 유포 급증, 수상한 메일 즉시 삭제해야

[보안뉴스 권 준 기자] 2014년부터 활동을 시작한 악명 높은 악성코드 ‘이모텟(Emotet)’이 피싱 메일을 통해 최근 국내에 대량 유포되고 있는 것으로 드러났다. 이모텟 악성코도는 원래 뱅킹 트로이목마였는데, 계속 진화를 거듭하면서 최근에는 다른 악성코드를 심는 악성코드로 악명을 떨치고 있다.

​

▲이모텟을 유포하는 스팸메일[자료=이스트시큐리티 ESRC]

이모텟이 포함된 이메일에는 별다른 내용 없이 첨부되어 있는 압축파일의 패스워드만 적혀있다는 게 이스트시큐리티 시큐리티대응센터(ESRC) 측의 설명이다. 압축파일 내에는 매크로가 포함된 엑셀 파일이 포함되어 있다. 해당 엑셀 파일을 열면 문서가 보호되어 있다며, 사용자로 하여금 ‘콘텐츠 사용’ 버튼의 클릭을 유도한다.

​

▲악성 매크로가 포함되어 있는 엑셀 파일[자료=이스트시큐리티 ESRC]

해당 엑셀 파일에는 매크로 악성파일이 포함되어 있으며, 매크로는 특정 사이트에서 html을 hta 형식으로 실행하는 것으로 분석됐다. html은 난독화 되어 있으며, 최종적으로 내부에 포함된 파워쉘 스크립트를 실행하게 된다.

파워쉘 스크립트는 se.png 명의 파일을 내려받는데, 해당 파일은 .png 파일을 위장한 파워쉘 스크립트이다. 해당 스크립트는 내려받음과 동시에 실행이 되며, 내부에 포함되어 있는 12개의 url 중에서 접속이 성공하는 주소에 접속해 QWER.dll 파일을 내려받아 실행하게 된다. 이렇게 최종적으로 내려받은 dll은 이모텟 악성코드로, rundll32를 통해 실행되어 사용자 정보 탈취 등의 악성 행위를 한다는 게 ESRC 측의 설명이다.

이스트시큐리티 ESRC 측은 “최근 이메일 첨부파일을 통한 이모텟 유포 건수가 급증하고 있어 발신자나 제목이 수상한 이메일을 수신했을 때는 바로 삭제해야 한다”며, “현재 알약에서는 해당 악성코드에 대해 Trojan.Agent.Emotet으로 탐지 중에 있다”고 밝혔다.

[권 준 기자(editor@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=104522&page=1&mkind=1&kind=1)]​