수상한 이메일을 통해 유포 중인 이모텟(Emotet) 악성코드 주의!
11월 19일 수상한 이메일들이 대량으로 수신되어 사용자들의 주의가 필요합니다.
[그림1] 수상한 메일
해당 메일들의 본문은 모두 영문으로 연락을 하라는 내용과 함께 워드파일(.doc)이 첨부되어 있습니다.
첨부된 악성문서파일을 실행하게 되면, 아래와 같은 안내를 사용자에게 보여주어 공격자가 심어 놓은 매크로를 실행시키도록 유도합니다.
[그림2] 매크로 실행을 유도하는 DOC 파일
매크로는 쓰레기 코드와 함께 파워쉘을 실행하는 코드를 포함하고 있습니다.
[그림3] 악성 매크로가 포함된 워드 파일
파워쉘 실행 코드는 아래의 C&C서버 리스트 목록에 따라 순차적으로 접속하여 C&C서버에서 내려주는 파일을 감염된 로컬PC에 565.exe로 저장하고 실행합니다.
**파워쉘 코드에 의해 연결되는 C&C서버 목록
http://rcw-lb[.]com/ab9vk/aty0i/
http://blog[.]begumnazli[.]com/wp-content/9a6/
최종 다운로드 되는 페이로드는 Emotet 으로 추정되며 현재는 C&C에 연결이 되지 않아 다운로드 및 실행되지 않지만 만약 연결이 되면 추가 피해가 발행할 수 있기 때문에 사용자의 주의가 필요합니다.
현재 알약에서는 Trojan.Downloader.DOC.Gen로 탐지중에 있으며, 관련하여 더 자세한 정보는 ThreatInside에서 확인하실 수 있습니다.