‘Coronavirus Updates’라는 제목으로 유포... 사용자 PC에서 정보 수집해 C&C 서버로 전송

[보안뉴스 원병철 기자] 코로나19가 전세계를 공포에 떨게 만드는 가운데 국내에서 세계보건기구(WHO)를 사칭한 코로나19 관련 악성메일이 발견돼 주의가 요구된다. 이 악성메일에 첨부된 악성파일을 실행할 경우 사용자의 정보가 고스란히 명령제어(C&C) 서버로 전송돼 해커들에게 탈취된다.


이스트시큐리티 시큐리티대응센터(이하 ESRC)는 10일 WHO(World Health Organization)를 위장해 ‘Coronavirus Updates’라는 제목으로 유포되는 악성메일을 발견했다고 밝혔다. 메일 본문에 SNS 아이콘이 포함되어 있는데, 해당 아이콘들을 클릭하면 실제 WHO(World Health Organization)의 공식 SNS 계정으로 연결된다. 해당 메일에는 ATT00001.zip 파일이 첨부되어 있는데, 해당 압축파일 안에는 MyHealth라는 이름의 실행파일(.exe)이 포함되어 있다.

만약 사용자가 ATT00001.zip 첨부파일 안에 있는 MyHealth.exe 파일을 실행하면, 공격자가 사전에 세팅해 둔 구글 드라이브에 접속해 인코딩된 파일을 다운받은 후, 디코딩하고 정상 프로세스에 인젝션해 악성 행위를 수행한다.


최종적으로 실행되는 코드는 Formbook 악성코드로, 사용자 PC에서 스크린샷 화면, host 파일정보, 브라우저 정보(Internet Explorer, Firefox, opera, outlook, thunderbird) 등을 수집하여 C&C 서버로 전송한다. 현재 알약에서는 해당 악성코드에 대해 Trojan.Agent.FormBook으로 탐지 중에 있다.

ESRC는 코로나바이러스 이슈를 악용한 공격이 지속되고 있는 만큼 이메일 첨부파일을 열어보거나 이메일에 포함된 링크를 클릭할 때 반드시 주의를 기울일 것을 권고했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>