트레소리트(Tresorit) 클라우드 서비스를 이용한 온라인카지노 악성 이메일 주의!!

​

대표적인 클라우드 서비스 트레소리트(Tresorit)를 이용한 온라인카지노 악성파일이 유포 중인 정황이 발견되어 사용자들의 주의가 필요합니다.

이번에 발견된 악성메일은 "service@dropbox.com shared "Revised_Contract.pdf" to you via Dropbox" 이라는 제목으로 수신되었으며, 본문에 기재된 Dropbox 링크를 통해 허위 견적서 온라인카지노을 다운로드하도록 유도합니다.

메일 본문에 기재된 링크는 Dropbox가 아닌 Tresorit 서비스 링크로 연결되며, 온라인카지노 악성 파일이 담긴 압축파일을 다운로드할 수 있습니다.

Contract_Signed_20219827304.zip 온라인카지노 내부에는 2개의 온라인카지노이 포함되며, 온라인카지노명만 다른 동일한 해쉬를 가진 온라인카지노입니다.

• Contract_Signed_20219827304.exe
• Project_20219827304239.exe

사용자가 압축 파일을 해제하여 실행할 경우, 시스템 정보, 브라우저 크리덴셜 정보, 현재의 화면 스크린샷, 시스템 종료/재시작, 추가 다운로드 기능들을 수행하는 온라인카지노 악성코드가 동작하게 됩니다.

• C2 정보 : hxxp://www[.]sainworks[.]com/nyk/

온라인카지노은 정보 수집 및 명령 제어 기능을 수행하는 악성코드로 초기부터 현재까지 유사한 코드로 동작하고 있기 때문에 온라인카지노에 대한 상세 분석은 아래 링크에서 확인하실 수 있습니다.

▶ Trojan.Agent.온라인카지노 악성코드 분석 보고서

이와 같이 출처가 불분명한 메일에 기재된 링크는 실행하지 않은 것이 좋으며, 백신의 실시간 감시를 사용하고, 정기적인 검사를 습관화하여야 합니다.

현재 알약에서는 'Trojan.Agent.온라인카지노' 탐지 명으로 탐지 중입니다.