경찰청을 사칭하여 유포중인 악성 이메일 주의!
최근 경찰청을 사칭한 악성 메일이 발견되어 사용자들의 주의가 필요합니다.
[그림 1] 경찰청 사칭 악성 메일
이번에 발견된 메일은 경찰청 초대라는 제목으로 유포되었으며, 어색한 한국어를 구사하고 있습니다.
이메일 하단에 현 경찰청장 이름인 민갑룡 영문이름을 추가하여 사용자들의 신뢰를 얻으려 시도하였습니다.
해당 메일에는 문서.iso 파일이 첨부되어 있습니다.
첨부되어있는 문서.iso 파일 안에는 문서.exe 파일이 포함되어 있습니다.
[그림 2] 악성 메일에 포함된 첨부바카라 용어
문서.exe 바카라 용어 분석
최초 첨부 바카라 용어인 ‘문서.exe’은 닷넷 바카라 용어으로 자기 자신을 자식 프로세스로 실행한 뒤, ‘Remcos’ 페이로드를 인젝션하는 기능을 수행합니다. 아래는 프로세스 인젝션 코드의 일부입니다.
[그림 3] 인젝션 코드
Remcos 악성코드는 명령제어 악성코드로, C&C 통신 이후 공격자 명령에 따라 다음과 같은 기능을 수행합니다.
키로깅
바카라 용어 통제(삭제/다운로드/업로드)
프로세스 통제
레지스트리 통제
‘cmd.exe’ 실행 및 결과 업로드
음성 녹음
화면 녹화
브라우저 정보 탈취
시스템 종료 및 재시작
다음은 파일 다운로드 및 업로드 코드로, 해당 명령에 따라 각각 감염 PC에 추가적으로 악성코드 다운로드 및 드롭과 정보 탈취가 이루어 질 수 있습니다.
[그림 4] 바카라 용어 다운로드 코드
[그림 5] 바카라 용어 업로드 코드
현재 알약에서는 해당 악성코드에 대해 Backdoor.Remcos.A로 탐지중에 있으며, 관련 IoC는 ThreatInside에서 확인하실 수 있습니다.
