티스토리 뷰

최근 이메일을 통해 국내에 가상화폐 채굴 악성코드가 유포되고 있다. 악성코드는 감염 PC의 CPU 자원을 이용하여 모네로(XMR)를 채굴하며, 사용자가 작업관리자를 실행할 경우 채굴을 종료하는 등 매우 지능적으로 설계되었다. 

해당 악성코드는 2016년 12월부터 유포된 비너스락커와 동일 조직으로 판단되며, 악성코드에 감염되지 않도록 사용자들의 각별한 주의가 필요하다.

 

악성 이메일 본문은 유창한 한국어로 작성되었고, 사회공학적 기법을 사용하여 악성코드 실행을 유도한다. 2017년 11월 30일부터 거래, 이력서, 개인정보 유출, 이미지 도용 등의 키워드를 사용하여 악성코드를 유포하고 있다.

 

 

[그림 1] 악성 이메일 및 악성코드 실행 과정

 

 

[그림 2] 모네로 채굴 악성코드 유포에 사용된 바로가기(.LNK) 파일

 

해당 악성코드는 사진이나 문서파일 아이콘으로 위장한 바로가기(.LNK)를 실행할 경우 동작하며, 최종적으로 메모리에서 악성 행위를 수행한다.

 

[그림 3] 악성코드 동작 과정

 

자세한 분석 내용은 아래 상세 분석보고서를 참고하시기 바랍니다.

 

□ 바이로봇 업데이트 내역  

Trojan.Win32.S.Agent.1781810
Trojan.Win32.Injector.733184
Trojan.Win32.S.XMRigMiner.373760
Trojan.Win64.S.XMRigMiner.338944

 

 

▶ 상세 분석보고서 다운받기 (Click)

 

댓글
댓글쓰기 폼