"Payment Error" 스팸 메일로 유포 중인 Remcos RAT 온라인카지노추천

​​

"PaymentError"제목의스팸온라인카지노추천이발송되고있어사용자의주의가필요합니다.

​​

​[그림1]스팸온라인카지노추천화면

온라인카지노추천본문에는사용자가계좌로지불한내역이오류가있었고,아래의링크에서첨부파일을다운로드하여은행 정보가맞는지확인하라는내용이기재되어있습니다.

링크가연결된사이트에는다운로드할수있는2개의파일이존재하며,해당파일 들은각각ProformaInvoice.doc.exe,PaymentDetails_xcod.exe파일명으로생성되어있으며Word,PDF문서의아이콘으로위장되어있습니다.

​

[그림 2] 링크 클릭 시 온라인카지노추천 다운로드 사이트 화면

2개의파일은모두ResmcosRAT온라인카지노추천로써실행시C&C통신이후스크린샷,키로깅,레지스트리추가및편집,공격자명령실행등다양한악성 행위를할수있습니다.

이번에사용된RemcosRAT는3.8.0Pro버전으로2022년8월21일에릴리즈 된최신 버전으로온라인카지노추천파일내에버전 정보가하드 코딩되어있습니다.또한보안 프로그램을우회하기위해.NET을이용하였습니다

[그림3]하드코딩된온라인카지노추천Rat버전정보

RemcosRAT온라인카지노추천는스팸메일을통해지속적으로유포되고있으며,사용자여러분들께서는이메일수신시반드시발신자의이메일주소를확인하시고,첨부파일실행전확장자를확인하는습관을기르셔야합니다.

현재알약에서는해당온라인카지노추천에대해Backdoor.Remcos.A 로탐지 중에있습니다.