견적서를 위장하여 유포중인 Lokibot 주의!
견적서를 위장한 피싱메일을 통해 Lokibot이 유포중에 있어 사용자들의 주의가 필요합니다.
이번에 발견된 피싱 메일은 '견적요청서 송부의 건' 제목으로 유포되고 있으며, 피싱 메일에는 대용량파일 형태로 악성파일이 첨부되어 있습니다.
압축파일 내에는 exe 파일이 포함되어 있습니다.
exe는 실행파일로 사용자 측에서 쉽게 이상하다는 의구심을 가질 수 있지만, 확장자 확인을 하지 않거나 주의를 기울이지 않으면 충분히 실행 가능성이 있습니다.
사용자가 압축파일 내 .exe 파일은 난독화 되어 있으며, 을 실행하면 dll이 드롭되며, 드롭된 dll은 추가로 다른 dll을 드랍합니다.
최종적으로 드랍된 dll 파일은 사용자의 레지스트리를 순회하며 PC정보를 포함한 메일, FTP, 브라우저 등의 정보를 탈취합니다.
C2
178.128.244.245
사용자 여러분들은 출처가 불분명한 사용자에게서 온 메일에 포함된 링크 클릭이나 첨부파일 실행을 지양해 주시기 바라며, 링크 클릭 혹은 첨부파일 실행 전 미리보기를 통해 링크 주소 및 파일 확장자를 확인해야 합니다.
현재 알약에서는 해당 악성코드에 대해 Spyware.Lokibot으로 탐지중에 있습니다.