Emotet 악성 코드가 새로운 스팸 메일 템플릿을 사용하기 시작했습니다.  새로운 템플릿은 이전과 같이 캠페인의 성공을 위해 "YOUR COMPUTER HACKED!"라는 새로운 템플릿을 사용하고 있습니다.[그림1]  이 템플릿은 받는 사람의 컴퓨터를 해킹하고 데이터를 훔쳤다고 말하는 "해커 (Hacker)"의 강탈 요구 인 것처럼 보이게 하고 있습니다.

[그림1] 출처: bleepingcomputer.com

이 캠페인은 2020 년 1 월 15 일경에 시작되었으며, 주요 특징으로는 이메일 제목에 "INF Jan 1 20.doc for [Name]"또는 "For [Name]"을 사용합니다.

History

Emotet은 배송 정보, 음성 메일, 스캔 한 문서, 보고서 및 송장과 같은 특정 테마를 기반으로 템플릿을 일반적으로 사용하는 스팸 이메일을 통해 확산됩니다.

과거 크리스마스 파티 및 할로윈 파티 초대와 같은 최신 이벤트를 반영하는 이메일 템플릿을 발송 했습니다.[그림2]

[그림2] 출처: bleepingcomputer.com

Objective

이러한 모든 전자 메일의 목표는 수신자가 첨부된 Word 문서를 열도록 유도하여 컴퓨터에 Emotet 맬웨어를 다운로드하여 설치하려고하는 것입니다.

그런 다음 Emotet은 감염된 컴퓨터를 사용하여 추가 악성 스팸을 보내고 다른 맬웨어를 장치에 다운로드하여 설치합니다.

Caution

사용자가 문서를 열면 수신자가 문서를 제대로 보려면 "콘텐츠 사용"이 필요하다는 표준 Emotet 악성 문서 템플릿이 표시됩니다.  

이 문서는 Emotet의 표준 문서 템플릿으로, 내용을 제대로 보려면 '콘텐츠 사용'을 명시해야합니다.

[그림3] 출처: bleepingcomputer.com

문서가 열리면 컴퓨터에 Emotet 트로이 목마를 다운로드하여 설치하는 PowerShell 명령이 실행됩니다.

더 나쁜 것은, Emotet이 얼마 후 TrickBot 정보 탈취용 트로이 목마를 다운로드하여 로그인 자격 증명, 민감한 파일, 브라우저 기록 등을 훔치기 시작한다는 것입니다.

Remidiation

모든 예상치 못한 첨부 파일에 대해 주의가 필요합니다.  Emotet 감염의 심각성 때문에 사용자는 자신이 받는 이상한 이메일, 특히 Word 첨부 파일이 포함 된 이메일에 주의해야합니다.  첨부 파일을 여는 대신 발신자에게 직접 연락하여 이메일을 보냈는지 확인하거나 최소한 네트워크 관리자와 공유하여 통제된 환경에서 열 수 있도록  해야합니다.

[Reference]

https://www.bleepingcomputer.com/news/security/emotet-malware-dabbles-in-extortion-with-new-spam-template/

보안관제센터 Team MIR