HSBC 은행을 사칭한 스팸메일

HSBC은행을 사칭해 악성 파일이 첨부되어 유포되는 스팸 메일이 발견되었다. 기존 스팸메일과 유포 형태는 크게 차이가 없지만, HSBC은행은 국내에도 다수의 지점이 운영되고 있으며, 이에따른 피해가 발생될 수 있어 해당 내용을 공유하고자 한다.

 

메일 제목은 'Payment Advice - Advice Ref:[B7734899]'와 같은 형태로 발송되며, 메일의 본문은 첨부된 e-Advice 내용을 확인하라는 내용이다.

 

[그림 1] 수신된 메일의 내용

 

첨부된 파일은 아래와 같으며, PDF 문서의 아이콘을 가지고 있다.

 

[그림 2] 메일에 첨부된 악성 파일

 

사용자의 폴더 옵션이 [알려진 확장자에 대한 숨김 설정]이 되어있는 경우라면 위와 같이 확장자가 보이지 않아 사용자는 PDF 문서로 판단하고 파일을 실행, 감염될 수 있다. 파일을 열어보면, 아래와 같이 윈도우 실행 파일(PE) 형태인 것을 확인할 수 있다.

[그림 3] 파일 내부 확인

 

파일이 실행되어 악성코드에 감염되면 추가적으로 아래의 파일이 생성 된다.

 

[파일생성]

%TEMP%\624765.exe

%AppData%\Ciria\izdoes.exe

%TEMP%\637046.exe

%TEMP%\659875.exe

%TEMP%\682343.exe

 

또한, 시스템 재 시작 시에도 동작할 수 있도록 아래의 값을 레지스트리에 등록한다.

 

[레지스트리 등록]

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\{1593167F-6E50-AD40-5B87-53325B9F7020}

"C:\Documents and Settings\Administrator\Application Data\Ciria\izdoes.exe"

 

감염 시 아래의 경로로 접속을 시도한다.

 

64.34.***.***:8080/pon***/gate.php

94.32.***.***/pon***/gate.php

116.122.***.***:8080/pon***/gate.php

hepcsupport.net/pon***/gate.php

 

그리고 아래의 경로를 통해 추가적인 파일을 다운로드하고, 실행한다.

 

www.300******websites.com/****cEhB.exe

1787****.sites.****registeredsite.com/***AeL.exe

heermeyer-i*********.de/**u4.exe

15******.webhosting*****.de/**2LLnfS.exe

 

국제 운송업체, 은행 등으로 위장하여 악성코드를 유포하는 스펨메일은 과거부터 지속적으로 발생되고 있으나, 여전히 주요한 보안위협으로 이용되며 피해사례 또한 꾸준하게 발생되고 있다.

이에 발신인이 명확하지 않거나, 첨부파일이 포함된 메일은 각별한 주의가 필요하다.

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

<V3 제품군의 진단명>

Trojan/Win32.Tepfer