본문 바로가기

스팸메일22

송장 메일로 유포되는 엑셀 문서 주의 (2) 10월 22일 오전 국내 기업을 대상으로 다운로더 악성코드를 유포하는 스팸 메일이 유포되고 있어 사용자의 주의가 필요하다. 엑셀 파일에서 드롭되는 최종 DLL은 10월 17, 18일인 지난 주 목요일부터 금요일까지 유포된 형태와 동일하다. 2019.10.18 ‘급여명세서’ 메일로 유포되는 엑셀 문서 주의 https://asec.ahnlab.com/1254 ‘급여명세서’ 메일로 유포되는 엑셀 문서 주의 10월 17일 부터 국내 기업을 대상으로 다운로더 악성코드를 유포하는 스팸 메일이 다수 유포되고 있어 사용자의 주의가 필요하다. 현재 확인된 국내 기업을 대상으로 유포되고 있는 스팸 메일 제목은 “10월.. asec.ahnlab.com 이전 블로그에서 설명한 방식과의 차이점은, 현재 국내 기업을 대상으로 유.. 2019.10.22
과속 범칙금 메일로 위장한 악성코드 유포 최근 과속 범칙금 메일을 위장하여 유포되는 악성코드가 발견되었다. 국내 거주하는 사용자들에게는 위험성이 다소 낮지만 유포되는 악성코드가 최근 해외 금융 사 등의 메일로 배포되는 악성코드와 유사한 악성코드로 사용자들의 주의가 요구된다. 본문 내용은 다음과 같다. [그림 1] 과속 범칙금 메일로 위장한 메일 본문 위의 내용을 보면 메일에 첨부된 파일을 실행하도록 유도하는 내용을 확인할 수 있으며, 메일에 첨부된 파일은 아래와 같다. [그림 2] 첨부된 악성코드 해당 파일을 실행하면 아래와 같은 자신의 파일을 복제하여 방화벽을 우회하고, 자동으로 실행 될 수 있도록 레지스트리에 특정 값을 등록한다. 특히, 자신의 파일을 복제할 때는 5자리 임의의 폴더 및 파일 이름으로 복제하며 악성코드 감염 시, 생성되는 배.. 2013.06.11
금융사 정보로 위장한 스팸메일 금융사 계정 정보로 위장하여 악성코드를 유포하는 스팸메일이 확산되어 사용자들의 주의가 필요하다. 이 스팸메일은 아래와 같이 chase사의 사용자 계정 정보와 관련된 내용이지만 Zbot 악성코드가 압축 파일의 형태로 첨부되어 있다. [그림 1] 금융사 정보로 위장한 스팸메일 압축 해제된 파일을 실행하면 C:\Documents and Settings\ahnmaru78\Application Data 폴더에 랜덤한 폴더를 생성한 후 자신을 복사한 후 실행하여 감염시킨다. 또한, 복사한 파일이 부팅 시 실행되도록 레지스트리의 아래 경로에 자신을 등록한다. HKCU\Software\Microsoft\Windows\CurrentVersion\Run\{E55555F5-9C43-AD7D-DE5D-26A4FBAA05B6}.. 2013.06.10
Bank of America로 위장한 스팸메일 최근 Bank of America에서 보낸 것으로 위장하여 악성코드를 배포하는 스팸 메일이 발견 되어 사용자들의 주의가 요구된다. 이번에 발견 된 스팸메일은 "You transaction is completed" (당신의 계좌 이체는 성공하였습니다.)라는 제목을 사용하였으며, 본문 내용은 다음과 같다. [그림 1] Bank of America로 위장한 스팸메일 본문 해당 스팸 메일은 "Receipt of payment is attached." (영수증은 첨부해드립니다.)라는 표현을 쓰면서 첨부 된 파일의 실행을 유도한다. 첨부 파일은 zip 파일로 되어 있으며, 내부에는 실행 파일 형태로 악성코드가 존재하기 때문에 주의가 필요하다. 또한 "This is an automatically generated e.. 2013.06.04
UPS 화물 운송장으로 위장한 스팸메일 UPS에서 발송한 화물 배송조회 메일로 위장한 악성 스팸 메일이 발견되었다. 이 메일은 발신자 주소를 임의의 메일 계정으로 하여, 악성 html 파일을 첨부한 상태로 불특정 다수에게 배포한 것으로 보인다. [그림 1] 스팸 메일에 첨부 된 html 파일 html 파일의 링크를 클릭하면 실제 악성코드를 유포하는 사이트로 접속한다. 악성코드 유포 사이트에서 아래와 같이 플러그인 설치 여부를 묻는 창을 보여주고, 설치를 허용하면 악성코드 파일을 다운로드 한다. [그림 2] 악성코드를 유포하는 웹 사이트 첨부된 파일을 실행하면 아래와 같은 파일들이 생성되며, 레지스트리에 실행 파일을 등록하여 부팅 시 자동으로 실행되도록 한다. 또한 방화벽의 허용 대상 프로그램에 자신을 등록하여, C&C 서버와 통신이 PC 보안.. 2013.06.04
미국우편공사(USPS)로 위장한 스팸메일 한국의 우정사업본부와 유사한 기관인 미국우편공사(United States Postal Service)로 위장한 악성 스팸 메일이 발견되었다. USPS에서 발송한 것처럼 위장하기 위해 송신자의 주소를 'reports@usps.com'와 같이 USPS의 도메인을 사칭하였고, 수신자가 메일에 첨부된 악성코드를 실행하도록 유도한다. 메일 제목은 'USPS delivery failure report'를 사용하였으며, 수신된 메일의 본문은 첨부된 파일(LABEL-ID-56723547-GFK72.zip)을 출력하도록 안내하여 첨부파일의 실행을 유도한다. [메일 본문] Notification Our company's courier couldn't make the delivery of package. REASON: Po.. 2013.06.04
연말 숙박 예약시 주의사항 (부킹닷컴 사칭 메일) 연말에 휴가를 계획중이라면 예약 관련 내용의 메일을 확인할 경우 주의가 필요하다. 전 세계 26만여개의 숙박업체 예약 서비스를 하고 있는 Booking.com(부킹닷컴)을 사칭한 메일을 통해 악성코드가 유포되고 있다. [그림 1] 부킹닷컴을 사칭한 악성코드 첨부 메일 원본 이러한 스팸 메일은 지난 7월에도 보고된 바 있고, 10월에는 시스코사의 위협 발생 경보에 아래와 같은 허위 호텔 예약 확인이라는 이메일 내용이 공개된 적이 있다. [그림 2] Cisco - Threat Outbreak Alerts: Fake Hotel Reservation Confirmation E-mail Messages 해당 악성코드는 사회공학적 기법을 이용하여 휴가시즌에 주로 메일을 통해 유포되고 있으며, 메일 본문에는 예약 내.. 2012.12.28
미국 대선 뉴스로 위장한 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷 ASEC에서는 2009년부터 웹 익스플로잇 툴킷(Web Exploit Toolkit)이라는 웹을 기반으로 하여 웹 브라우저(Web Browser)나 웹 기반 애플리케이션(Web Application)들에 존재하는 취약점들을 자동으로 악용하도록 제작된 툴킷의 위험성에 대해 언급하였다. 그리고 웹 익스플로잇 투킷의 한 종류인 블랙홀(Blackhole) 웹 익스플로잇 툴킷을 이용하여 실제 사회적 주요 이슈나 소셜 네트워크(Social Network)와 같은 일반 사람들이 관심을 가질 만한 내용들을 포함한 스팸 메일(Spam Mail)의 사회 공학(Social Engineering) 기법으로 악성코드 유포를 시도한 사례들이 다수 존재한다. 2012년 6월 - 스팸 메일과 결합된 웹 익스플로잇 툴킷 2012년 7.. 2012.10.12