이모텟(Emotet) 악성코드, 스팸메일을 통한 국내 유포 재개

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
국내 사용자들을 대상으로 스팸메일을 통해 이모텟(Emotet) 악성코드가 유포되고 있어 사용자들의 각별한 주의가 필요합니다. 

 

이모텟 악성코드는 2014년 처음 등장 이후 현재까지 꾸준히 활동중에 있으며, 주로 스팸메일을 통하여 유포됩니다. 최근 5개월동안 거의 활동을 하지 않다가 다시 활동을 재개하였으며, 국내에서도 이모텟이 포함된 스팸메일이 대량으로 발견되고 있습니다. 

 

 

※ 관련 글 보기

 

▶ 세종상공회의소 시니어 인턴십 참여메일로 유포되는 이모텟(Emotet) 악성코드 주의!!(22.06.27)
▶ 다시 유포중인 이모텟(Emotet) 악성코드 주의!(22.05.12)  

 

 

[그림 1] 스팸 메일

 

[그림 2] 스팸 메일 내 압축 파일

 

 

스팸메일 내에는 암호가 설정되어 있는 압축파일이 포함되어 있으며, 압축파일 암호는 이메일 본문 내 적혀있습니다. 

이메일의 형태가 정교하지 않아 수신자들은 바로 스팸메일임을 인지할 수 있어 감염률은 높지 않을 것으로 추정되나, 해킹당한 이메일 계정을 통하여 발송하기 때문에, 이전에 주고받았던 이메일의 전달 형태로 수신한다면 이상함을 감지하고도 열어볼 가능성이 있습니다. 

 

 

[그림 3] 악성 엑셀 실행 화면

 

 

압축파일 내에는 악성 매크로 코드가 포함되어 있는 엑셀 파일이 존재합니다. 

엑셀파일을 실행하면, 악성 매크로 코드를 정상적으로 실행하기 위하여 사용자로 하여금 [콘텐츠 사용] 버튼을 클릭하도록 유도합니다. 

 

엑셀 파일 내에는 숨겨진 시트 내 특정 셀에 수식이 포함되어 있는데, 해당 셀에 대해 매크로 이름상자에 Auto_Open으로 지정되어 있어, 사용자가 [콘텐츠 사용] 버튼을 누르면 해당 셀에 있는 수식이 자동으로 실행되게 됩니다. 

 

 

[그림 4] 악성 엑셀파일 내부에 숨겨진 시트와 이름관리자 화면

 

 

[그림 5] 숨겨진 시트에 존재하는 코드 화면

 

숨겨진 시트 내에는 다음과 같은 수식들이 포함되어 있으며, 실행 시 공격자가 미리 입력해 둔 웹페이지에 순차적으로 접속을 시도하며 연결되는 페이지에서 C:\Windows32\System32 하위에 dll형태로 이모텟을 내려 받습니다. 이렇게 다운로드 된 dll 형태의 이모텟은 regsvr32.exe  명령어를 사용하여 실행합니다.

 

 

다운로드 주소

hxxp://sourceintership[.]com/vendor/rZnJL9pPUjA9pU/
hxxp://www[.]thebeginningstore.in/0202498070/m2x8inU7TSiuO3px/
hxxp://www[.]angloextrema.com.br/assets/mQVRrHu7o0eJXxTFu/
hxxp://alvaovillagecamping[.]pt/wp-content/Ra9iwOPb6uLf/

 

 

[그림 6] 다운로드 된 dll형태의 이모텟

 

 

이렇게 실행된 이모텟 악성코드는 파일 내부에 존재하는 C&C로 접속을 시도하며, 접속 성공 시 공격자로부터 추가 명령을 받아 다운로드 및 정보탈취 등의 악성 행위를 수행할 수 있습니다.
 
사용자 여러분들께서는 첨부파일의 비밀번호가 포함된 수상한 이메일 수신 시, 열람을 지양하시고 바로 삭제하시기를 권고드립니다. 
 
현재 알약에서는 해당 악성코드에대해 Trojan.Agent.Emotet, Trojan.Downloader.XLS.gen으로 탐지중에 있습니다.