첨부파일 실행하면 키로깅과 권한탈취 등 수행...추가 악성코드도 다운받아

[보안뉴스 원병철 기자] 최근 경찰청을 사칭한 악성메일이 발견돼 사용자들의 주의가 요구된다. 이스트시큐리티 ESRC(시큐리티대응센터)는 7일 오후부터 경찰청을 사칭하고, 악성파일이 첨부된 악성메일이 발견됐다고 밝혔다.


이번에 발견된 메일은 ‘경찰청 초대’라는 제목으로 유포됐으며, 어색한 한국어를 구사하고 있다. 이메일 하단에 현 경찰청장인 ‘민갑룡’ 청장의 영문이름을 추가해 사용자들의 신뢰를 얻으려 시도하고 있다.

메일에는 문서.iso 파일이 첨부되어 있으며, 압축파일로 풀어보면 ‘문서.exe’ 파일이 포함되어 있다. 최초 첨부 파일인 ‘문서.exe’은 닷넷 파일로 ‘Remcos’ 페이로드를 인젝션하는 기능을 수행한다. 아래는 프로세스 인젝션 코드의 일부다.


Remcos 악성코드는 명령제어 악성코드로, 명령제어(C&C) 통신 이후 공격자 명령에 따라 △키로깅 △파일 통제(삭제/다운로드/업로드) △프로세스 통제 △레지스트리 통제 △‘cmd.exe’ 실행 및 결과 업로드 △음성 녹음 △화면 녹화 △브라우저 정보 탈취 △시스템 종료 및 재시작과 같은 기능을 수행한다.

파일 다운로드 및 업로드 코드를 살펴보면, 해당 명령에 따라 각각 감염 PC에 추가적으로 악성코드 다운로드 및 드롭과 정보 탈취가 이루어 질 수 있다.


ESRC는 현재 알약에서 해당 악성코드에 대해 Backdoor.Remcos.A로 탐지 중에 있다고 밝혔다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>