Spyware.Ursnif 슬롯 머신 규칙 분석 보고서

​

‘Spyware.Ursnif’(이하 ‘Ursnif’)슬롯 머신 규칙는 ‘Gozi,’Dreambot’라는 이름의 뱅킹 트로이목마로 알려져 있습니다.해당 슬롯 머신 규칙는 메일 내 첨부된Microsoft Office슬롯 머신 규칙 문서 파일에서 유포되는 것으로 알려져 있습니다.

본 슬롯 머신 규칙는C&C로 정보 전송 및 추가 페이로드 실행 기능이 있으며,페이로드의 명령 제어 기능에 따라OS파괴,추가DLL실행 등이 있어서 공격자 의도에 따라 이용자의 피해가 발생할 수 있습니다.

만일 기업에서 이 슬롯 머신 규칙에 감염될 경우,추가 슬롯 머신 규칙 다운로드나 사용자 정보 탈취 등에 의해 정보 유출 및 시스템 파괴로 이어지는 피해가 발생할 수 있어 주의가 필요합니다.

특히나 본 슬롯 머신 규칙는 과거에‘Ursnif/ISFB’이름으로 소스코드가 공개되어,많은 공격자들이 커스텀하여 사용할 수 있어 여러 변종이 나올 가능성이 높습니다.

따라서,이러한 슬롯 머신 규칙 감염을 예방하기 위해서는 출처가 불분명한 메일에 있는 첨부파일에 대해 접근을 삼기는 보안 습관을 가져야 합니다.

현재 알약에서는 해당슬롯 머신 규칙를‘Spyware.Ursnif’ 탐지 명으로 진단하고 있으며,관련 상세 분석보고서는구독을 통해 확인이 가능합니다.