국세청 세무조사통지서를 위장하여 유포중인 Lokibot 주의!
국세청 세무조사통지서를 위장하여 Lokibot이 발견되어 사용자들의 주의가 필요합니다.
Lokibot은 다양한 주제를 위장한 피싱 메일을 통해 꾸준히 유포되고 있으며, ESRC에서도 이미 여러차례 관련하여 포스팅 한 적이 있습니다.
이전글 보기
▶ 회계명세서, 견적문의 피싱 메일로 유포 중인 Lokibot 주의!(21.08.18)
▶ 네이버 전자세금계산서를 위장한 피싱 메일 주의!(21.07.15)
▶ 발주서로 위장한 LokiBot 악성 메일 유포중! (21.06.23)
이번 악성 메일은 '세무조사통지서'라는 제목으로 유포되고 있으며, 월별 세무 감사가 예정되어 있다며 첨부되어 있는 파일을 열람하도록 유도합니다.
이메일에 첨부되어 있는 압축파일 안에는 Monthly Tax Aduit 파일명을 가진 실행파일이 포함되어 있습니다.
만약 사용자가 해당 악성파일을 정상파일로 오인하여 실행한다면, 압축파일 내에 있던 Lokibot 악성코드가 실행되게 됩니다.
Lokibot이 실행되면 사용자 PC정보와 함께 웹 브라우저, 메일 클라이언트, FTP 프로그램 등에 저장해 놓은 계정 비밀번호를 탈취하여 공격자의 C&C서버로 전송합니다.
C&C 서버 정보
hxxp://136.243.159.53/~element/page.php?id=505
사용자 여러분들은 출처가 불분명한 사용자에게서 온 메일에 포함된 링크 클릭이나 첨부파일 실행을 지양해 주시기 바라며, 링크 클릭 혹은 첨부파일 실행 전 미리보기를 통해 링크 주소 및 파일 확장자를 확인해야 합니다.
현재 알약에서는 해당 악성코드에 대해 Spyware.Lokibot으로 탐지중에 있습니다.