통신요금 고지서로 위장한 악성코드, 주의!

통신요금 고지서로 위장한 악성코드, 주의! AhnLab / 2017-05-31     스마트 시대인 요즘은 우편물보다 이메일, 홈페이지 및 앱을 통해 각종 요금 고지서를 수신하고 확인하는 사람들이 많아졌다. 통신사나 카드사 같은 업체들은 우편발송 비용 절감을 위해 이메일 고지서를 받는 사용자에게 할인 등의 혜택을 주기도 한다. 이런 점을 악용하여 최근 통신 요금 고지서로 위장한 악성코드가 발견되어 주의가 요망된다.   [그림 1] 통신요금 고지서로 위장한 악성 파일   지난 4월 [그림 1]과 같이 통신요금 고지서 첨부 파일로 위장한 악성 파일이 이메일을 통해 유포된 것이 확인됐다. 해당 메일의 첨부 파일은 문서 아이콘을 사용하여 문서 파일인 것처럼 사용자를 속이고 있지만 사실은 *.exe 확장자를 가진 실행 파일이다.   이 악성 파일을 실행하면 내용이 없는 워드(Word) 문서가 나타나는데, 이 파일 자체는 특별한 악성 행위를 하지 않는 파일이다. 악성코드 제작자는 사용자에게 실제 문서를 보여줌으로써 해당 파일이 악성 파일이라는 의심을 하지 않도록 의도한 것으로 보인다.   하지만 문서 파일을 노출한 다음 Temp 경로에 악성 파일을 추가로 생성하고 실행한다. 이 과정에서 XXX_Ser.exe라는 파일을 생성하는데, 이 파일은 가상 환경 여부를 확인하기 위한 가상 환경 우회(Anti-VM) 기능이 포함되어 있다. 만일 이 악성코드가 가상 환경에서 동작하는 경우 [그림 2]와 같은 프로그램이 나타난다. 이 프로그램은 레지스트리 편집기(Regedit.exe)를 실행하는 프로그램으로, 악성 행위를 하는 것은 아니다.   [그림 2] XXX_Ser.exe가 가상 환경에서 실행된 경우 생성되는 프로그램   악성 파일이 실행된 시스템이 가상 환경이 아닌 것을 확인하면 특정한 경로에 악성 파일을 생성한다. 이때 생성된 Update.exe 파일은 [그림 2]에서 생성된 XXX_Ser.exe가 자가 복제한 파일로, 윈도우(Windows)가 시작될 때마다 자신을 실행하기 위해 레지스트리 항목에 자신을 등록한다.   이와 같은 일련의 행위를 수행한 후 인터넷 브라우저 접속 페이지, 즐겨찾기, 바로가기 정보 및 등록된 계정 정보와 함께 국내 유명 메신저의 사용자 계정 정보를 탈취한다. 또 특정한 주소로 네트워크 연결을 시도하는데, 분석 당시에는 네트워크 연결로 인한 추가 악성 행위 및 데이터 전송은 이뤄지지 않았다.   해당 악성 파일이 국내 통신 회사의 요금 고지서로 위장한 점이나 국내에서 사용하는 메신저의 계정 정보를 탈취하는 것 등으로 미루어볼 때 우리나라 국민을 대상으로 제작된 것임을 알 수 있다.   이러한 악성 파일은 주로 이메일에 첨부되어 유포된다. 항공사, 택배사, 온라인 쇼핑몰에서 발송한 이메일을 받았을 때는 발신인 메일 주소를 자세히 살펴보고, 발신인이 불분명한 메일에 첨부된 파일은 다운로드하지 않도록 주의해야 한다.   V3 제품은 관련 악성코드를 다음과 같은 탐지명으로 진단하고 있다.   <V3 제품군 진단명> Dropper/Win32.Agent Trojan/Win32.Delpiloader Trojan/Win32.Dumper Trojan/Win32.Delpiloader