거래명세표라길래 열어봤더니?!

최근 거래명세표 파일로 위장한 로키봇(Lokibot) 악성코드가 발견됐다. 기업 사용자를 대상으로 업무용 메일처럼 위장, 유포되고 있어 각별한 주의가 필요하다. 

2015년부터 확산되기 시작한 로키봇은 주로 스팸 메일을 통해 유포되는 정보 유출형 악성코드다. 로키봇은 사용자의 브라우저 계정 정보, FTP, 메일, 암호화폐 지갑 등 다양한 정보를 탈취하는데, 이번 공격도 예외는 아니었다.

[그림 1] 거래명세표로 위장한 스팸 메일

발견된 메일에는 거래명세표로 보이는 압축 파일이 2개 첨부되어 있었다. 각각 다른 포맷(.ace와 .rar)으로 압축되어 있지만, 모두 로키봇을 압축한 파일이다.

첨부된 파일을 실행하면 악성 파일은 Temp 경로에 폴더를 만든 후 해당 폴더에 자신을 복제한다. 또한, 시스템이 시작될 때 마다 악성코드를 실행하기 위해 [그림 2]와 같이 시작프로그램에 해당 악성코드를 실행시키는 vbs 파일을 등록한다. 

[그림 2] 시작프로그램에 자신을 등록하는 로키봇

로키봇은 감염된 시스템에 설치된 주요 FTP 클라이언트, 메일 애플리케이션, 인터넷 브라우저 설치 경로 등 사용자 시스템에 설치된 프로그램을 참조하여 추출한 사용자 정보를 공격자의 C&C 서버로 전송한다. 사용자의 다양한 정보가 공격자에게 전송되는 것이다.

공격자에게 유출된 정보는 공격자의 의도에 따라 2차 범죄에 악용될 소지가 높기 때문에 무엇보다 감염되지 않도록 주의하는 것이 중요하다.