▲ 로그인 확인으로 위장 된 이메일 화면

이스트시큐리티 시큐리티대응센터(ESRC)에 따르면, 이번 메일은 매스 메일링(Mass-Mailing)기법을 사용해 약 85명의 불특정 다수에게 메일이 전달되었다고 전했다.

사용자가 비정상적인 로그인 시도를 체크하기 위해 본문에 기재 된 링크를 클릭 시 압축파일을 다운로드 받게 된다.

압축파일에는 악성 실행파일이 존재했으며 해당 파일을 실행 시킬 경우 ‘Loki Bot’ 악성코드가 실행된다.

이 ‘Loki Bot’ 악성코드는 사용자의 PC정보와 웹 브라우저, FTP 프로그램, 메일 프로그램, 쉘 접속 프로그램 등 사용자가 저장 해 놓은 계정 및 패스워드를 수집하고 특정 서버로 전송하는 역할을 한다.

수집 된 사용자의 정보들은 아래의 주소로 전송된다.

- C&C 주소: http://marsnav.ru/java3/Panel/fre.php
- C&C IP: 47.254.177.155

악성코드 감염에 의해 시스템 정보 및 웹 브라우저, FTP, 쉘 접속 프로그램 등의 계정과 비밀번호가 유출 되었다면 그 데이터를 이용해 2차 피해가 발생할 수 있어 주의해야 한다.

ESRC 측은 “출처가 불분명한 메일에 있는 링크에 대해 접근을 삼가하고, 검증되지 않은 파일을 실행 할 시에는 백신 프로그램을 이용해 악성 여부 검사를 수행해야 한다”고 강조했다.

출처 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=52486