본문내용 바로가기 메인메뉴 바로가기 하단내용 바로가기

최신동향

최신동향 상세보기
스팸 메일 발송을 통한 미국 금융 기관 대상 “TRICKBOT 악성코드” 발견2017.07.31
개요
  • IBM X-Force, 네커스(Necurs) 봇넷같은 스팸 발송을 유포하는 TRICKBOT 악성코드 연구 결과 발표
     
 

주요내용

 

  • IBM X-Force 소속 연구원에 따르면, 미국 금융 기관 고객 대상으로 네커스(Necurs) 봇넷 기반의 스팸 발송 및 JavaScript 인젝션 기법이 포함되어 확산되고 있다고 발표 
    - 이번 공격에 사용된 네커스(Necurs) 봇넷 스팸 발송 방법은 악성 이메일 내 ZIP으로 압축된 난독화된 JavaScript 코드로 이루어진 윈도우 스크립트 파일이 첨부되어 있음 
    - 또한 수집된 연구결과에 따르면 악성 이메일 내 ZIP 파일이 아닌 악성 매크로가 포함된 문서를 첨부파일로 활용하는 것으로 조사
  1. 이메일 수신자가 첨부된 파일을 다운로드하고 클릭 시 TRICKBOT 로더가 실행되어 감염되며 아래와 같이 사용자 PC에서 악성코드가 동작
< TRICKBOT 악성코드 작동 방식 >
① 사용자 PC 감염 → ② 사용자 PC 내 “%APPDATA%” 폴더가 생성 → ③ “%TEMP%” 폴더 내 루트 인증서 등록 → ④ 아래와 같이 작업 스케줄러에 등록
 
  1. 또한 미국 금융 기관에 홈페이지 이용자 대상 HTML이나 JavaScript 인젝션 이용 리디렉션을 통한 미국 금융기관 정상 사이트로 위장한 악성 사이트로 강제 이동시켜 TRICKBOT 악성코드 감염을 유도함
    - 악성사이트에 접속하여 감염된 사용자의 로그인 정보, PII, 중요한 인증 코드 탈취 가능
  • IBM X-Force 소속 연구원은 TRICKBOT 악성코드는 미국을 넘어서 스페인 포함 6개 국가 대상으로 확산되고 있다고 발표함


 

시사점

 

  1. 국내 피해 예방을 위해 개인/기업에서는 OS 및 소프트웨어 최신 버전으로 업데이트 유지 및 주기적인 백신 점검, 출처가 불분명한 이메일을 열지않는 등 사용자 주의 필요



[출처]
1. https://threatpost.com/trickbot-malware-now-targets-us-banks/126976/



작성 : 침해사고분석단 분석2팀
키워드 TRICKBOT , 금융 , 스팸 , 악성코드