다시 유포중인 이모텟(Emotet) 토토 신규가입꽁머니 주의!
이모텟(Emotet)토토 신규가입꽁머니가재유포중에있어사용자들의각별한주의가필요합니다.
이모텟토토 신규가입꽁머니는4월중순부터대량으로유포되어오다5월의시작점을기점으로유포가중단되었습니다.하지만금일(12일)부터다시유포정황이확인되었습니다.
4월말,이모텟토토 신규가입꽁머니는Powershell명령이포함된윈도우바로가기파일(.lnk)을사용하는새로운방식을사용하였습니다.
하지만, 이번에 유포되고 있는 이모텟 토토 신규가입꽁머니는 기존의 악성 매크로가 포함된 XLS파일 및 암호화 된 압축 파일을 통한 유포방식을 사용하고 있습니다.
만일 사용자가 첨부되어 있는 excel 파일을 실행한다면 '콘텐츠 사용' 버튼의 활성화를 유도합니다. 만일 사용자가 콘텐츠 사용 버튼을 활성화 하면, 숨겨진 시트에 포함되어 있던 토토 신규가입꽁머니 명령어를 Auto_Open을 이용하여 실행합니다.
해당 악성 명령어는 공격자가 설정해 놓은 특정 주소로 부터 이모텟 토토 신규가입꽁머니를 내려받으며, 내려받은 토토 신규가입꽁머니는 C:\Users\[사용자명] 하위에 저장합니다. 이후 rundll32.exe를 사용하여 이모텟 토토 신규가입꽁머니를 실행합니다.
C&C주소
hxxp://easiercommunications[.]com/wp-content/w/
hxxp://dulichdichvu[.]net/libraries/QhtrjCZymLp5EbqOdpKk/
hxxps://www.whow[.]fr/wp-includes/H54Fgj0tG/
hxxp://genccagdas.com[.]tr/assets/TTHOm833iNn3BxT/
hxxp://heaventechnologies[.]com.pk/apitest/xdeAU0rx26LT9I/
hxxp://goonboy[.]com/goonie/bSFz7Av/
사용자 여러분들께서는 알약과 같은 신뢰할만한 백신을 사용하시고, 수상한 이메일 열람 및문서 파일 실행 시 [콘텐츠 사용] 기능 활성화를 지양하시기를 당부 드립니다.