* 해당 게시물은 국내/외 스팸메일 사례를 소개하여 스팸메일로 발생하는 피해를 줄이는 목적으로 제작됩니다.

 

유포 방식: E-Mail 내 Link 클릭

 

메일 내용

 - 제목: 온라인 청구서

 - 내용: 청구 금액은 £ 247.33 입니다. 링크의 청구서를 확인하여 주시길 바랍니다.

 

[그림 1] 청구서를 가장한 스팸메일 (myonlinesecurity)

 

링크 클릭 시 다운로드 화면이 보여지면서 아래 도메인을 통해 JavaScript를 다운로드 합니다. 아래의 링크는 HTTPS 통신을 합니다. 링크 클릭 시 Trickbot 다운로더(zip)가 다운로드됩니다. 

 

 

 

[그림 2] JS Downloader C2

 

 

[첨부파일] TrickBot Downloader

 

 

JS를 클릭 시 내부에 저장되어 있는 C2로 접속하여 트로이목마를 다운로드 및 실행합니다. 아래와 같이 JS는 난독화가 되어있습니다.

 

[그림 3] JS 다운로더 난독화

 

스크립트 실행 시 C2에서 멀웨어를 다운로드합니다.

 

[그림 4] Trickbot Download

 

 

[Payload] Tribot Trojan

 

 

악성코드 다운로드 이후 자동적으로 실행이 되며 우리도 모르는 사이 해당 악성행위를 진행하게 됩니다.

아래는 최근 매우 자주 보이는 도메인입니다. 단말 정보를 전송합니다.

 

[그림 5] 감염 단말 정보 전송

 

 

 

[방지 방안]

1) 신뢰하지 못하는 메일의 첨부파일을 다운로드 하지 않는다

2) 메일 첨부파일에 존재하는 js, exe, HTA, VBS, jse, JAR 등 의심스러운 파일의 확장자는 실행하지 않는다.

 

 

 

출처

[Title 그림] https://sensorstechforum.com/new-spam-campaign-infection-using-e-zpass-toll-bills-announced-by-ic3/

[그림1] https://myonlinesecurity.co.uk/new-bt-online-bill-malspam-delivers-dridex-banking-trojan/