수상한 이메일을 통해 유포 중인 이모텟(Emotet) 악성카지노 꽁 머니 주의!

11월 19일 수상한 이카지노 꽁 머니들이 대량으로 수신되어 사용자들의 주의가 필요합니다.

[그림1] 카지노 꽁 머니카지노 꽁 머니

해당 카지노 꽁 머니들의 본문은 모두 영문으로 연락을 하라는 내용과 함께 워드파일(.doc)이 첨부되어 있습니다.

첨부된 카지노 꽁 머니문서파일을 실행하게 되면, 아래와 같은 안내를 사용자에게 보여주어 공격자가 심어 놓은 매크로를 실행시키도록 유도합니다.

[그림2] 매크로 실행을 유도하는 DOC 파일

매크로는 쓰레기 카지노 꽁 머니와 함께 파워쉘을 실행하는 카지노 꽁 머니를 포함하고 있습니다.

[그림3] 카지노 꽁 머니 매크로가 포함된 워드 파일

파워쉘 실행 카지노 꽁 머니는 아래의 C&C서버 리스트 목록에 따라 순차적으로 접속하여 C&C서버에서 내려주는 파일을 감염된 로컬PC에 565.exe로 저장하고 실행합니다.

최종 다운로드 되는 페이로드는 Emotet 으로 추정되며 현재는 C&C에 연결이 되지 않아 다운로드 및 실행되지 않지만 만약 연결이 되면 추가 피해가 발행할 수 있기 때문에 사용자의 카지노 꽁 머니가 필요합니다.

현재 알약에서는Trojan.Downloader.DOC.Gen로 탐지중에 있으며, 관련하여 더 자세한 정보는ThreatInside에서 확인하실 수 있습니다.