활동을 재개한 이모텟(Emotet) 악성코드, 국내 유포 정황 포착!
이모텟(Emotet) 악성코드가 3개월의 휴식기를 지나 다시 유포하기 시작하여 사용자들의 주의가 필요합니다.
이모텟 악성코드는 2014년 처음 발견된 금융정보 탈취 악성코드로서 지금까지 꾸준히 유포중이며, 스팸메일의 첨부파일로 형태로 유포됩니다.
유포를 재개한 이모텟의 경우도 스팸메일에 파일을 첨부한 형태로 유포중이며, 첨부되어 있는 압축파일 내에는 악성 매크로가 포함된 doc 파일이 포함되어 있습니다.
doc 파일을 실행하면, 악성 매크로가 동작하면서 공격자가 미리 지정해 놓은 C&C에 접속하여 악성 dll 파일을 내려받아 실행하는데, 이때 실행하는 doc 파일과 dll 파일의 용량이 500MB이상이라는 특징을 갖고 있습니다.
수상한 파일 실행 전, 파일 크기를 확인하는 방법도 파일의 악성여부를 확인하는 좋은 방법 중 하나라는 점 참고하시기 바라며, 현재 알약에서는 최근 해당 악성코드에 대해 Trojan.Downloader.DOC.Gen, Trojan.Agent.Emotet으로 탐지중이며 지속적인 모니터링 중에 있습니다.
감사합니다.
IoC
2148A6A2BEF5A35CE5665CBC12D5E474
17B526011C4771FEF77B0DE07860EA35