상품 관련 내용으로 유포되는 슬롯 꽁 머니 메일 주의

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

최근 국내에 지속적으로 상품 관련 내용으로 슬롯 꽁 머니 메일이 유포되고 있어 주의를 당부드립니다. 이번에 발견된 슬롯 꽁 머니 메일은 상품 출고 지연 내용과 함께 선적 서류로 위장한 첨부 파일 실행을 유도하는 내용을 담고 있습니다.

[그림 1] 상품 출고 지연 내용의 슬롯 꽁 머니 메일

첨부파일에는 슬롯 꽁 머니 실행 파일 'Shipping Documents.exe'가 있습니다.

[그림 2] 첨부파일 'Shipping Documents.rar'

이용자가 파일 이름만 보고 선적 관련 서류라고 생각해서, 파일을 실행할 경우 슬롯 꽁 머니코드가 실행됩니다. 'Shipping Documents.exe'는 .NET로 제작되어 있으며, 자기 자신을 자식 프로세스로 실행한 뒤, 정보 탈취 기능을 수행하는 슬롯 꽁 머니코드를 인젝션합니다. 다음은 인젝션하는 코드의 일부입니다.

[그림 3] 인젝션 코드의 일부

인젝션되어 실행되는 슬롯 꽁 머니코드는 웹 브라우저에 인라인 후킹을 하고, 입력한 정보를 C&C로 전송합니다. 다음은 C&C로 입력한 정보를 전송하는 화면입니다.

[그림 4] C&C로 정보 보내는 화면

관련하여 유사 슬롯 꽁 머니 이메일을 확인하던 중, 상품 견적 의뢰 내용으로 첨부 파일 실행을 유도하는 슬롯 꽁 머니 메일이 추가로 발견되었습니다.

[그림 5] 상품 견적서 위장 슬롯 꽁 머니 메일

첨부파일에는 국내 특정 기업 이름과 함께 상품 견적 의뢰 대상 문서로 위장한 실행 파일이 있습니다.

[그림 6] 상품 견적서 슬롯 꽁 머니 메일의 첨부 파일

첨부 파일에 있는 슬롯 꽁 머니 실행 파일(exe)을 클릭할 경우, 웹 브라우저 및 FTP 정보를 탈취하여 C&C(http://62.108.34.49/1zayee/gate.php)로 전송하는 슬롯 꽁 머니코드가 실행됩니다.

[그림 7] 정보 전송 코드

최근 지속적으로 상품 관련 내용으로 위장한 슬롯 꽁 머니 메일이 발견되고 있습니다. 따라서 이용자들은 출처가 불분명한 메일에 있는 링크 혹은 첨부파일에 대해 접근을 삼가주시기 바랍니다. 또한 백신 업데이트 상태를 항상 최신으로 유지해주시기 바랍니다.

현재 알약에서는 관련 슬롯 꽁 머니코드를'Trojan.Agent.188416B, Trojan.Agent.717312B'로 진단하고 있습니다.