1. 개 요


최근 해외에서 호텔 예약 오류와 관련한 악성 이메일이 지속적으로 발견되고 있다. 본격적인 여름 휴가철을 맞아 해외 여행을 계획하고 있는 일반 사용자의 경우 이와 같은 악성 이메일을 열람할 경우 첨부되어 있는 악성파일에 감염될 수 있어 각별한 주의가 필요하다. 또한, 해당 악성 이메일들은 제목에 유명 호텔 이름을 사용하고 있는 것이 특징이다.

  

2. 유포 경로 및 감염 증상

해당 악성 이메일의 경우 여러 스팸메일들과 같이 인터넷 사용중 개인 이메일 계정 정보 유출 등으로 인해 수신될 수 있으며, 이메일 내부에 첨부파일 형태로 포함되어 있는 실제 악성파일은 SNS, 인스턴스 메신저 등의 링크 접속을 통해 다운로드될 수 있다.

최근 발견되고 있는 호텔 예약 오류와 관련한 악성 이메일은 여러가지 종류가 존재하며, 지속적으로 메일 내용이 변경되어 출현중에 있다.

아래의 그림은 호텔 예약 오류와 관련한 악성 이메일에 대한 화면이다.

◆ 유사한 악성 이메일

 

※ 메일 본문 내용

제목 : Hotel The Westin Oaks  made wrong transaction

Dear Guest!

Transaction: Visa 5259_PJ6hD
On July 26th, 2011 Hotel made wrong transaction debiting from your account for an overall amount of $1479.
For noncompliance of the service contract this Hotel was divested accreditation in Moverick Company.
Please see the attached form. You need to fill it in and contact your bank for the return of funds.
You’ll need the attached detalization of your account transactions to apply for the return of funds.
Company just mediates and bears no responsibility for any money transactions made by Hotel.
Thank you for understanding. We trust you can solve this unpleasant problem.

Marty Ditolla,
Manager of Reception Desk & Reservation Departament


첨부파일 : RefundForm(3자리 숫자).zip

제목 : Hotel Sheraton Suites Houston Near The Galleria  made wrong transaction

Dear customer!

Transaction: Visa 50734_1Lk
On July 26th, 2011 Hotel made wrong transaction writing-down from your credit card for an overall amount of $1465.
This partner hotel was divested accreditation in Moverick Company with reference of noncompliance of the service contract.
For the return of funds please contact your bank and fill information in the attached form.
In the attachment you will find expense sheet with the sum of wrong transaction decommissioning.
As Company is not responsible for money transactions and acts as intermediary you can seize the court directly to return the funds from the Hotel.
Thank you for understanding. We trust you can solve this unpleasant problem.

Randy Hackathorn,
Manager of Reception Desk & Reservation Departament


첨부파일 : RefundForm(3자리 숫자).zip

제목 : Hotel Westin Princeville Ocean Resort Villas  made wrong transaction

Dear Customer!

Transaction: Credit Card 163684_mh
This letter notifies that on July 26th, 2011 Hotel transaction debiting from your account. Total sum of decommissioning is $1673
Due to the termination of service contract between Hotel Melia Deviana and Moverick Company this Hotel was divested accreditation in our company.
For the return of funds please contact your bank and fill information in the attached form.
In the attachment you will find expense sheet with the sum of wrong transaction decommissioning.
Company just mediates and bears no responsibility for any money transactions made by Hotel.
Sorry for the inconvenience. We trust you can solve this unpleasant problem.

Clematis Delahanty,
Manager of Reception Desk & Reservation Departament

첨부파일 : RefundForm(3자리 숫자).zip

제목 : Hotel The Carlyle, A Rosewood   made wrong transaction

Dear customer!

Transaction: Visa 96682816_orvYc
On July 26th, 2011 Hotel made wrong transaction decommissioning from your account for an overall amount of $1897.
Due to the termination of service contract between Hotel Melia Deviana and Moverick Company this Hotel was divested accreditation in our company.
For the return of funds please contact your bank and fill information in the attached form.
In the attachment you will find expense sheet with the sum of wrong transaction error of transaction.
Company just mediates and bears no responsibility for any money transactions made by Hotel.
Sorry for the inconvenience. We trust you can solve this unpleasant problem.

Margery Lovvorn,
Manager of Reception Desk & Reservation Departament


첨부파일 : RefundForm(3자리 숫자).zip

메일 내용은 대부분이 비슷하며, 예약시 입금 금액에 대한 오류 내용이 주를 이루고 있으며, 첨부된 시트 파일을 참고하라는 문구로 첨부된 악성파일에 대한 다운로드 및 실행을 유도하고 있다.

아래의 그림은 첨부된 압축파일에 대한 압축해제 시 확인 가능한 첨부파일이다.


해당 악성파일의 아이콘은 위 그림과 같이 엑셀 파일과 유사하다. 이로인해 일반 사용자의 경우 결제 관련 시트파일로 오인하여 별다른 의심없이 해당 파일을 실행할 수 있다.

또한, 해당 악성파일을 실행하면 특정 외부 사이트로 접속을 시도하며, 아래의 그림과 같이 허위백신과 관련된 추가적인 악성파일 다운로드를 시도할 수 있다.

※ 특정 외부 사이트 접속 리스트

- http://(생략).ru/forum4/(생략)
- http://www.(생략).com/
- http://(생략).com/(생략)/img.php?id=106

※ 현재는 위에 나열된 접속 리스트들 모두 접속이 불가능한 상태이다.

◆ 추가적으로 다운로드 될 수 있는 허위백신 관련 악성파일


위 그림과 같은 허위백신 관련 악성파일은 Tls Callback 함수 등을 사용하여, 쓰레드 생성전 Packing된 파일에 대해 Unpacking 후 실행되는 구조로 되어있다.

다만, 해당 악성파일의 경우 내부에 특정 외부 사이트 URL에 대한 파싱부분이 존재하며, 몇가지 조건이 충족되지 않을 경우 정상적으로 실행되지 못할 수 있다.

3. 예방 조치 방법

위와 같은 악성 이메일의 경우 대부분 일반 사용자들이 쉽게 현혹될 수 있는 사회공학 기법을 사용하고 있어 육안상 악성 여부를 판별하기가 쉽지 않다. 이러한 악성 이메일과 첨부된 악성파일로 부터 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다 할 수 있겠다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일의 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. SNS, 인스턴트 메신저 등을 통해 접근이 가능한 링크 접속시 주의를 기울인다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성파일에 대해 아래의 그림과 같은 진단/치료 기능을 제공하고 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

◆ 진단명 현황

- Trojan/W32.Agent.865792.R
- Trojan-Downloader/W32.Injecter.52736
- Trojan/W32.Agent.939008.I




저작자 표시
신고
Posted by nProtect
1. 개 요


 최근 신용카드 중단 내용으로 위장한 악성 이메일이 다양한 형태로 국내에 전파되고 있어 각별한 주의가 요망되고 있다. 해당 악성 이메일은 해외에서 제작된 것이지만 국내에도 이메일을 통해서 다수 유입된 것으로 확인되고 있으며, 이메일의 조작된 내용이 "신용 카드 사용 정지 안내 메일" 등으로 위장되어 있어 일반 신용카드 사용자의 경우 별다른 의심없이 이메일 열람 및 첨부파일 다운로드로 악성파일에 감염될 가능성이 있다.
  

2. 감염 경로

이러한 악성 이메일은 인터넷 사용중 개인 이메일 계정 정보 유출 등으로 인해 수신될 수 있으며, 내부의 첨부파일 형태로 포함되어 있는 실제 악성파일은 이메일 외에도 SNS, 인스턴스 메신저 등의 링크 접속 등으로 다운로드될 수 있다.

아래의 그림은 실제로 수신된 관련 이메일에 대한 화면이다.


◆ 유사한 악성 이메일

 

 

※ 메일 본문 내용

제목 : Your credit card has been blocked

Dear User,
ATTENTION : Your credit card is blocked!
With your credit card was removed $ 586,96
Possibly illegal operation!
More info in the attached file.
Immediately contact your bank.
Best wishes, VISA CUSTOMER SERVICES.

첨부파일 : sample.exe

제목 : MASTER CARD TEAM 03

Dear Consumer,
Your credit card is blocked!
Your credit card was withdrawn $ 5107,94
Possibly illegal operation!
More information in the attached file.
Instantly contact your bank.
Best Wishes, MASTER CARD Team.

첨부파일 : fedex78123.exe


위 메일의 본문 내용을 자세히 살펴보면 카드 사용 정지에 대해 자세한 내용 확인을 위해 첨부파일에 대한 다운로드 및 실행을 유도하고 있다. 

해당 악성 이메일들은 아래의 그림과 같은 파일들을 첨부파일로 포함하고 있을 수 있다.

 


위와 같은 첨부파일들은 파일명이 유동적으로 바뀔 수 있다. 보통 이러한 악성 이메일에 첨부된 파일은 허위 백신에 대한 설치본인 경우가 대부분이며, 현재 첨부파일에 대한 정밀분석이 진행중에 있다.

3. 예방 조치 방법

위와 같이 사회공학 기법을 사용해 악성파일을 유포할 경우 대부분의 일반 사용자들은 악성 여부를 육안상으로 판결하기가 쉽지 않다. 때문에 이러한 악성파일로 부터 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일의 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. SNS, 인스턴트 메신저 등을 통해 접근이 가능한 링크 접속시 주의를 기울인다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성파일에 대해 아래의 그림과 같은 진단/치료 기능을 제공하고 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

◆ 진단명 현황

- Trojan/W32.Agent.81408.MM
- Trojan/W32.Agent.79872.KV
- Trojan/W32.Agent.67584.OP




저작자 표시
신고
Posted by nProtect

1. 개 요


최근 특정 웹 사이트 접근 시 팝업형으로 발생하는 피싱 사례가 일부 발견되어 사용자들의 주의를 필요로 하고 있다. 피해 사례는 국내 은행 사이트 및 신용카드를 이용한 온라인 영화 예매 시 발생하였으며, 여러 증상 등으로 미루어보아 외국에서 제작 및 유포가 이루어지는 것으로 추정되고 있다. 인터넷을 이용해 금융거래와 관련된 피싱 피해가 발생하게 되면 사용자들은 금전적 피해를 입을 수 있기 때문에 이번 피싱 시도 사례를 계기로 다시 한번 보안 관리의 중요성에 대해 되새기는 시간을 가졌으면 한다.

2. 감염 경로 및 증상

이번에 발견된 피싱 시도 사례는 현재 몇 가지 정황으로 미루어 보아 해외에서 제작된 것으로 추정되며, 이메일의 첨부 파일이나 메신저 및 SNS 등의 링크 클릭 유도 등을 통해 유포될 수 있는 것으로 추정된다.

또한, 피싱 시도 사례가 발견된 PC에서 아래의 그림과 같은 악성파일이 정상 프로세스상에 로드되어 있는 것으로 확인되었다.


위 그림을 살펴보면 "rundll32.exe" 정상 프로세스상에 "noloadf5A.dll" 악성파일이 인젝션 되어 있는 것을 확인할 수 있으며, 해당 dll 파일은 하기와 같은 경로 상에 숨김 속성으로 존재한다. 또한, 감염된 PC는 아래와 같은 특정 레지스트리 값이 등록될 수 있으니 참고할 수 있도록 하자.

※ noloadf5A.dll 파일 위치 경로

C:\WINDOWS\system32\noloadf5A.dll ( 614,400 바이트, 숨김 속성으로 존재 )

※ 레지스트리 등록 값

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemonTool"="C:\WINDOWS\system32\noloadf5A.dll"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemonTool"="C:\Documents and Settings\(사용자계정)\noloadf5A.dll"

현재까지 위와 같은 감염 경로를 가지는 것으로 추정되는 피싱 시도 사례가 국내에서 두 가지 형태를 통해 진행되는 것으로 확인되었으며, 경우에 따라 더욱 다양한 사례가 있을 수 있다.

㉮ 인터넷 뱅킹을 위한 은행 사이트 로그인 시 발생하는 피싱 시도 사례

위와 같은 악성파일에 감염된 PC에서 국내 은행 사이트의 인터넷 뱅킹을 이용하기 위해 로그인(공인 인증서) 등을 시도할 경우 아래의 그림과 같이 피싱 시도 화면이 함께 출력될 수 있다.

카드정보에 대한 입력을 유도하고 있으며, 모두 영문으로 기재되어 있어 다양한 연령대가 이용 중인 국내 일반 사용자들을 대상으로 제작되었다고 보기에는 다소 거리가 있어 보인다. 또한, 현재 웹 브라우저를 "Internet Explorer"가 아닌 "Chrome"을 통해 은행 사이트에 접속할 경우 해당 피싱 시도 창이 출력되지 않는 것이 일부 확인되고 있다.

㉯ 신용카드를 통한 온라인 영화 예매 결제 시 발생하는 피싱 시도 사례

두 번째 사례는 국내 유명 멀티플랙스 극장의 인터넷 사이트에서 신용카드를 이용한 온라인 영화 예매 시 발생하는 사례이다. 우선, 감염된 PC에서 영화 예매를 위해 신용카드를 이용한 결제를 진행해 보았다.


결제를 위한 신용카드 정보를 위 그림과 같이 모두 입력 후 "적용" 버튼 클릭을 진행하면 아래의 그림과 같이 특정 신용카드사의 정보 입력 화면으로 사칭한 피싱 시도 화면이 출력된다. 해당 화면은 교묘하게 제작된 허위 카드사 정보 입력 화면이다.


그런데 위 그림을 살펴보면 은행 사이트 이용 시 발견되었던 사례와 유사하게 모두 영문으로 표기되어 있으며, 해외에서 사용이 가능한 신용카드를 이용해야 위와 같은 피싱 시도 창이 출력되는 것으로 일부 확인되었다. 


3. 예방 조치 방법

위와 같은 두 가지 피싱 시도 사례로 미루어 보아 해당 피싱 관련 악성파일은 국내 일반 사용자들을 타겟 삼아 제작된 것은 아닌 것으로 추정되며, 피싱 시도에 의한 실제적 피해 사례는 접수되지 않고 있다. 다만, 현재 일부 국내로 유입되어 감염 사례가 발견된 만큼 사용자들은 해당 악성파일로 인해 피해를 입지 않도록 신경 써야 한다.

우선 ▶윈도우와 같은 OS 및 각종 응용프로그램의 최신 보안 패치를 생활화해야 하며, ▶신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트 후 실시간 감시 기능을 "ON" 상태로 유지해 사용하는 것이 중요하다. 또한, ▶발신처가 불분명한 메일의 열람이나 첨부된 파일에 대한 다운로드를 자제해야 하며, ▶메신저나 SNS 등을 이용 시 노출 되어 있는 링크 접속 등에 주의를 기울여야 한다.

※ 현재 잉카인터넷 대응팀에서는 이번에 발견된 피싱 시도 사례에 대해 정밀분석을 진행하고 있으며, 추가적인 보안 위협에 대한 지속적인 관제 작업을 병행하고 있다.


저작자 표시
신고
Posted by nProtect