견적서를 위장하여 유포중인 Lokibot 주의!

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

견적서를 위장한 피싱메일을 통해 Lokibot이 유포중에 있어 사용자들의 주의가 필요합니다. 

 

 

[그림 1] 견적요청서를 위장한 피싱 메일

 

 

이번에 발견된 피싱 메일은 '견적요청서 송부의 건' 제목으로 유포되고 있으며, 피싱 메일에는 대용량파일 형태로 악성파일이 첨부되어 있습니다. 

 

 

[그림 2] 피싱 메일에 포함된 압축파일

 

 

압축파일 내에는 exe 파일이 포함되어 있습니다.

exe는 실행파일로 사용자 측에서 쉽게 이상하다는 의구심을 가질 수 있지만, 확장자 확인을 하지 않거나 주의를 기울이지 않으면 충분히 실행 가능성이 있습니다. 

 

 

[그림 3] 새로운dll드롭

 

 

사용자가 압축파일 내 .exe 파일은 난독화 되어 있으며, 을 실행하면 dll이 드롭되며, 드롭된 dll은 추가로 다른 dll을 드랍합니다. 

 

최종적으로 드랍된 dll 파일은 사용자의 레지스트리를 순회하며 PC정보를 포함한 메일, FTP, 브라우저 등의 정보를 탈취합니다. 

 

[그림 4] 순회하는 레지스트리 목록

 

 

C2

178.128.244.245

 

사용자 여러분들은 출처가 불분명한 사용자에게서 온 메일에 포함된 링크 클릭이나 첨부파일 실행을 지양해 주시기 바라며, 링크 클릭 혹은 첨부파일 실행 전 미리보기를 통해 링크 주소 및 파일 확장자를 확인해야 합니다.   

현재 알약에서는 해당 악성코드에 대해 Spyware.Lokibot으로 탐지중에 있습니다.