온라인 쇼핑 등의 청구서를 위장 해 악성 프로그램을 감염 시키려고하는 악성 스팸 수법은 이전부터 존재하고 있지만, 트렌드 마이크로는이 12 월 8 일 이후 동일한 수법의 악성 스팸이 급증하고있는 것을 확인했습니다. 확인 된 악성 스팸은 RTF 형식의 문서 파일이 첨부 된 것만 매우 간단한 것입니다. 그러나 트렌드 마이크로 클라우드 형 보안 기초 " Trend Micro Smart Protection Network '통계는 12 월 8 ~ 9 일 이틀간에 첨부 된 악성 프로그램이 국내 800 대 이상에서 발견되고 있습니다.
그림 1 : 메일에 첨부 된 '청구서'를 열었다 예제
문서에 표시되는 이미지가 악성 프로그램 본체
이번에 확인 된 악성 스팸의 제목은 "2014/12/8있는 주문 '등이 첨부 파일 이름은"청구서 _8_12_2014.rtf "이 확인되고 있습니다. 첨부 파일 이름은 제목과 함께 메일이 돌기 시작한 "2014 년 12 월 8 일"날짜를 나타내는 것으로 생각되지만 표기가 세월 년의 순서로되어 일본에서 일반적으로 같은 날짜 표기법과 다를 수 주의점로들 수 있습니다. 첨부 파일은 RTF 형식의 문서 파일이지만, 특히 취약점의 이용은 인정되지 않고, 문서를 열만으로는 악성 프로그램이 실행되는 것은 아닙니다. 악성 프로그램은 문서에 붙일 수 있으며, 문서의 아이콘 이미지를 더블 클릭하여 실행되는 간단한 구조입니다. 문서에 붙일 수있는 악성 프로그램이 실행되면 인터넷상의 여러 악성 사이트에 액세스하고, 새로운 악성 프로그램을 다운로드합니다. 주목되는 것은이 다운로드되는 파일에 일반적으로 자동 프록시 설정에 사용되는 파일 인 'proxy.pac "가 있다는 것입니다. 감염 환경에서 준비한 proxy.pac을 이용함으로써 악성 사이트로의 유도 및 통신 경로에서 정보를 훔치는 중간자 공격 등이 가능합니다. 특히 이번에 확인 된 proxy.pac 파일에는 일본 은행의 도메인 정보가 15 개 분 포함되어 있기 때문에 인터넷 뱅킹을 겨냥한 새로운 수법의 공격으로 간주됩니다.
그림 2 : 난독 화 된 proxy.pac의 기술
크리스마스와 연말 등 쇼핑과 선물의 기회가 증가 시즌을 겨냥해 유사한 공격이 늘어날 수 있습니다. 평소와 다른 양식의 청구서 이메일 등 의심스러운 메일이나 첨부 파일을 수신해도 열리지 않도록주의하시기 바랍니다.
트렌드 마이크로는 이번 공격에 대해보다 자세한 분석을 진행하고 있습니다. 관련 추가 정보는이 블로그를 통해 알려드립니다.
■ 트렌드 마이크로의 대책
이번 공격에서 확인 된 악성 프로그램에 대한 트렌드 마이크로 제품은 당사의 클라우드 형 보안 기초 "Trend Micro Smart Protection Network "의 기능인" 파일 평판 "기술은 다음과 같은 검색 이름으로 순차 검색 지원을 실시하고 있습니다 : "TROJ_ARTIEF", "TROJ_VB"
" E-mail 평판 "기술은 의심스러운 보낸 메일이나 위험성이 높은 메일 수신을 차단합니다. 또한 "InterScan Messaging Security Suite '등의 메일 보안 게이트웨이 제품은 콘텐츠 필터링 기능을 활용하여 첨부 파일에 실행 파일들이하는 등의 조건으로 위험성이 높은 메일을 필터링 할 수 있습니다.
이번 공격과 관련된 백도어 악성 프로그램이 통신 연결하게 불의 사이트 내용은 " Web 평판 "기술은 Web 사이트에 대한 액세스를 차단합니다.
'Security_News > 해외보안소식' 카테고리의 다른 글
| "네트워크 카메라 이미지 무단 공개 사이트 '보도에서 고려해야 할듯 (0) | 2014.12.11 |
|---|---|
| 러시아 언더 그라운드에서 확인 된 POS 악성 코드 "LusyPOS" (0) | 2014.12.11 |
| 소니 픽쳐스 직원, 협박 메일 받아 (0) | 2014.12.11 |
| 툴라 악성코드 리눅스 변종 탐지 (0) | 2014.12.10 |
| 美재무부, 토르를 통해 금융범죄 일어나 (0) | 2014.12.10 |