* 해당 게시물은 국내/외 스팸메일 사례를 소개하여 스팸메일로 발생하는 피해를 줄이는 목적으로 제작됩니다.

 

 

 

유포 방식: E-Mail 내 링크

 

메일 내용

 - 제목: 서류 문서

 - 내용: 청구서 관련 확인 메일

 

 

[그림] 청구서 확인으로 위장한 스팸메일

 

 

 

스팸메일은 청구서 대한 확인 링크로 가장해 사용자에게 첨부파일 다운로드 및 실행을 유도 합니다.

 

 

 

[Link] Downloader MS Word

 

 

[그림] C2 통신

 

 

 

 

 

링크 클릭 시 스팸메일 종류에 따라 다양한 C2에서 MS Word를 다운로드 합니다.

 

 

[그림] 컨텐츠 활성화 클릭 유도

 

 

 

 

늘 그래왔듯 컨텐츠 사용을 유도하며, 단순한 클릭으로 인해 발생하는 대가는 그리 단순하지 않습니다.

클릭 시 doc 내부에 있는 난독화된 Script가 실행됩니다.

 

[그림] 난독화 된 Script

 

 

[그림] Emotet Download C2

 

 

 

 

[Malware] Emotet

 

 

 

악성코드 다운로드 이후 자동 실행이 되며, 레지스트리에 자동 등록되어 주기적인 실행이 가능합니다. 

또한, 악성 C2로 내부의 정보를 전송하여 Trojan의 행위를 수행하게 됩니다.

 

[그림] C2 Post 전송

 

 

 

 

 

[방지 방안]

1) 신뢰하지 못하는 메일의 링크는 클릭하지 않는다

2) 메일 첨부파일에 존재하는 js, zip, exe, HTA, VBS, jse, JAR 등 의심스러운 파일의 확장자는 실행하지 않는다.

3) 중요 자료는 백업을 하여 자료를 보호한다.

 

 

[그림] Sniper APTX 탐지

 

 

 

 

Source

[Title 그림] https://sensorstechforum.com/new-spam-campaign-infection-using-e-zpass-toll-bills-announced-by-ic3/

http://malware-traffic-analysis.net/2018/03/01/index.html