개요
Trustwave, 자바스크립트 파일을 이용해 악성 실행파일 다운로드 후 사용자의 정보 탈취하는 피싱 이메일 확인
주요내용
공격자는 Xero 기업으로 위장하여 전세계적으로 피싱 이메일 발송
* Xero : 중소기업을 위한 클라우드 기반 회계 소프트웨어 개발사
발신자는 xero.com이 아닌 xeronet.org로 해당 도메인은 공격이 수행되는 날 중국에서 등록된 것으로 확인됨
이메일에 포함된 링크는 최종적으로 악성 자바스크립트(Xero Invoice.js)를 실행하여 Y739Ayh.exe를 다운로드하며, 이는 Dridex 트로이목마의 변종으로 확인됨
* Dridex : Chrome, Internet Explorer 같은 웹브라우저를 모니터링하고 은행 및 개인정보를 탈취하는 악성코드
(기능) 시스템 정보 수집, 사용자 정보 수집, 인터넷 설정 변경, 레지스트리 키 검색을 통한 설치된 소프트웨어 목록 수집
(특징) 내장 윈도우 명령어(whoami.exe/all 등) 사용, API 간접 호출을 통한 탐지 우회, 정상 프로세스에 악성코드를 삽입하는 등의 특징을 지닌 매우 정교한 악성코드
<그림 1. Xero 기업을 사칭한 피싱 이메일 메시지>
시사점
정상적으로 보이는 메일도 발신자가 의심스러울 경우 링크 클릭 및 파일 다운로드 주의
Xero 외에도 SharePoint, Quickbook, Dropbox 등 유명 브랜드를 사칭하는 경우가 발견되어 이메일 확인 시 사용자의 주의 요망
[출처]
1. Trustwave,, “Malware Xeroing in on Cloud Accounting Customers”, 2017.9.6.
2. Infosecurity, “Xero-Spoofing Phishing Campaign Spreads Dridex Globally”, 2017.9.8.
'Security_News > 해외보안소식' 카테고리의 다른 글
| 해커그룹 OurMine, Vevo 뮤직 비디오 서비스 해킹 (0) | 2017.09.19 |
|---|---|
| 美 연방거래위원회, 기업을 위한 데이터 보안 가이드라인 업데이트 (0) | 2017.09.15 |
| 최근 몽고DB 공격원인은 관리자계정 취약점 (0) | 2017.09.15 |
| Adobe Flash Plyaer 취약점 패치 (0) | 2017.09.14 |
| Microsoft 9월 패치, 제로데이 포함 82개 수정 (0) | 2017.09.14 |