사용자 정보 탈취 목적의 악성 80벳이 첨부된 메일 주의

최근 사용자 정보 탈취 악성코드를 다운로드 하는 ‘견적 요청서’ 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다.

이번에 발견된 악성 메일 본문에는 “첨부한 샘플과 사양에 따라 긴급한 요구 사항이 있다”고 영문으로 작성되어있고 첨부 80벳의 실행을 유도합니다.

[그림 1] 수신된 메일

첨부 80벳 ‘Quotation.zip’ 에는 실행 80벳인 ‘Darfile.exe’ 80벳이 담겨져 있습니다.

[그림 2] 첨부된 ‘Quotation.zip’ 80벳

만약 이용자가 실행할 경우, %temp%폴더 아래에 ‘subfolder’ 이름의 폴더를 생성 한 후 자신을 복사한 80벳인 Dar.exe와 Dar.vbs 80벳을 드롭 한 후 실행 합니다.

[그림 3] 80벳 드롭 화면

Dar.vbs 80벳의 내용은 아래와 같으며, 레지스트리에 등록 하는 코드가 있습니다. 이는 재부팅 시에도 Dar.exe 80벳을 실행시키기 위함입니다.

[그림 4] ‘Dar.vbs’ 코드

자가 복제된 Dar.exe 파일은 프로세스 인젝션 후, 정보 탈취 기능을 수행합니다.  

관련하여 9월20일에도 비슷한 종류의 이메일이 아래와 같이 유포되었습니다.

[그림 5] 가격 요청서 악성 메일

[그림 6] 견적 요청서 악성 메일

따라서 출처가 불분명한 메일에 있는 첨부80벳 혹은 링크에 대해 접근을 삼가하시고, 검증되지 않은 80벳을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부 검사를 수행해주시기 바랍니다.

현재 알약에서는 관련 샘플을 'Trojan.Agent.FormBook'으로 진단하고 있습니다.