경찰청을 사칭하여 유포중인 온라인 카지노 합법 사이트 이메일 주의!
최근 경찰청을 사칭한 온라인 카지노 합법 사이트 메일이 발견되어 사용자들의 주의가 필요합니다.
[그림 1] 경찰청 사칭 온라인 카지노 합법 사이트 메일
이번에 발견된 온라인 카지노 합법 사이트은 경찰청 초대라는 제목으로 유포되었으며, 어색한 한국어를 구사하고 있습니다.
이온라인 카지노 합법 사이트 하단에 현 경찰청장 이름인 민갑룡 영문이름을 추가하여 사용자들의 신뢰를 얻으려 시도하였습니다.
해당 온라인 카지노 합법 사이트에는 문서.iso 파일이 첨부되어 있습니다.
첨부되어있는 문서.iso 파일 안에는 문서.exe 파일이 포함되어 있습니다.
[그림 2] 온라인 카지노 합법 사이트 메일에 포함된첨부파일
문서.exe 파일 분석
최초 첨부 파일인 ‘문서.exe’은 닷넷 파일으로 자기 자신을 자식 프로세스로 실행한 뒤, ‘Remcos’ 페이로드를 인젝션하는 기능을 수행합니다. 아래는 프로세스 인젝션 코드의 일부입니다.
[그림 3] 인젝션 코드
Remcos 온라인 카지노 합법 사이트코드는 명령제어 온라인 카지노 합법 사이트코드로, C&C 통신 이후 공격자 명령에 따라 다음과 같은 기능을 수행합니다.
키로깅
파일 통제(삭제/다운로드/업로드)
프로세스 통제
레지스트리 통제
‘cmd.exe’ 실행 및 결과 업로드
음성 녹음
화면 녹화
브라우저 정보 탈취
시스템 종료 및 재시작
[그림 4] 파일 다운로드 코드
[그림 5] 파일 업로드 코드
현재 알약에서는 해당 온라인 카지노 합법 사이트코드에 대해Backdoor.Remcos.A로 탐지중에 있으며, 관련 IoC는에서 확인하실 수 있습니다.