공격자들이 IRS 피싱 이메일을 보내 Emotett 악성코드를 설치하다

보안 연구원들이 Malwarebytes와 Palo Alto Networks Unit 42에서 발견한 바에 따르면, Emotet 악성코드는 가짜 W-9 세금 양식 첨부파일이 포함된 피싱 이메일을 통해 사용자들을 타겟으로 하고 있습니다.

Emotet은 악성 매크로가 포함된 Microsoft Word 및 Microsoft Excel 문서를 통해 배포되는 악명 높은 악성코드 감염입니다. 그러나 Microsoft가 이제 다운로드한 Microsoft Word 문서에서 매크로를 기본적으로 차단함에 따라 Emotet 악성코드는 악성 스크립트가 포함된 Microsoft OneNote로 이동하여 Emotett 악성코드를 설치합니다.

Emotet을 운영하는 공격자들은 일반적으로 휴일 및 연례 세금 신고와 일치하는 테마의 피싱 캠페인을 사용합니다. 즉, 미국 세금 시즌입니다. Malwarebytes에서 발견한 피싱 캠페인에 따르면, 공격자들은 Internal Revenue Service의 권위를 가장하여 “TRS Tax form W-9″라는 제목의 이메일을 보냅니다.

읽기: 고급 감시 공격에 사용되는 일반 마법 및 파워 마법 악성코드

이 피싱 이메일에는 악성 워드 문서가 포함된 W-9 form.zip이라는 이름의 ZIP 아카이브가 있습니다. 이 문서는 보안 소프트웨어가 악성인지 감지하기 어렵게 만들기 위해 500MB로 부풀려졌습니다.

Emotet이 설치되면, 악성코드는 피해자의 이메일을 훔쳐 향후 재전송 체인 공격을 위해 사용하고, 이후 이메일을 스팸으로 보내며, 마지막으로 다른 위협 행위자에게 초기 접근을 제공하는 다른 악성코드를 설치합니다.

즉, Microsoft가 이제 매크로를 기본적으로 차단하므로 사용자가 매크로를 활성화하고 워드 문서에 감염되는 고통을 겪을 가능성이 줄어듭니다.

Palo Alto Unit 42에서 발견된 피싱 활동에서는 공격자들이 악성코드를 설치하는 VBScript 파일이 활성화된 Microsoft OneNote 문서를 사용하여 이러한 제한을 우회합니다.

그 후, 피싱 활동은 피해자에게 W-9 양식을 보내는 비즈니스 파트너인 척하는 재전송 체인 이메일을 활용합니다.

첨부된 OneNote 문서는 보호된 것처럼 보이게 하며, 사용자가 문서를 올바르게 보려면 두 번 클릭하라고 요청하지만, 실제로 숨겨진 것은 VBScripts가 실행될 View 버튼입니다.

내장된 VBScript 파일을 열면 Microsoft OneNote는 사용자가 파일이 악성일 수 있다고 경고하지만, 불행히도 많은 사용자가 이러한 경고를 무시하고 파일 실행을 허용합니다. 파일이 실행되면, VBScript는 Emotet DLL을 다운로드하고 regsvr32.exe를 사용하여 실행합니다.

그 후, 악성코드는 백그라운드에서 조용히 실행되며, 이메일과 연락처를 훔치고 장치에 추가 페이로드가 설치되기를 기다립니다.

따라서 W-9 양식이나 다른 세금 양식이 있다고 주장하는 이메일을 받으면, 먼저 안티바이러스 소프트웨어로 문서를 스캔하세요.

게다가, 이러한 양식은 워드 첨부파일이 아닌 PDF 첨부파일로 전송되므로, 이를 열고 매크로를 활성화하는 것을 피하고 이메일을 삭제하세요.

읽기: Fortinet 사이버 보안 업데이트 실패; 제로데이 취약점이 위협 행위자에 의해 악용됨