국내 유명은행 보안메일을 사칭한 RemcosRAT 바카라 꽁 머니 이메일 주의!!
최근 국내 유명 은행 보안메일을 사칭한 바카라 꽁 머니 이메일이 발견되어 사용자들의 주의가 필요합니다.
이번에발견된메일은"바카라 꽁 머니메일"이라는 제목을 사용하며, 실제 해당 은행에서 보내는 바카라 꽁 머니메일과 유사하게 제작되었습니다.
바카라 꽁 머니메일프로그램처럼보이는첨부파일은“PDF문서아이콘”으로위장하여사용자가다운로드하여실행시악성행위를시작합니다.
바카라 꽁 머니파일은RemcosRat1.7Pro버전으로확인되었으며진단을우회하기위해.NET을 이용하였으나, 내부바카라 꽁 머니모듈을추출하면버전정보가하드코딩되어있습니다.
Remcos바카라 꽁 머니코드는명령제어바카라 꽁 머니코드로,C&C통신이후공격자명령에따라다음과같은기능을수행합니다.
명령어 | 설 명 |
filemgr, upload, rename, deletefile, downloadfromurltofile | 파일관리 (업로드, 다운로드, 파일명변경, 파일삭제) |
regopened, regcreatekey, regeditval, regdelkey, regdelval, regopen, initregedit | 레지스트리 관리(값 및 키 추가, 편집, 이름 바꾸기, 삭제) |
getproclist, prockill | 프로세스 관리 (프로세스 리스트 및 종료) |
keyinput | 키로깅 |
consolecmd, execcom, cmdoutput, sendfiledata | 셸 명령 실행 및 결과 업로드 |
scrcap | 화면 스크린샷 |
OSpower | 시스템 종료 및 재시작 |
이외에도사용자PC에동작중인브라우저(InternetExplorer,Chrome,Firefox)의쿠키데이터와로그인정보를수집합니다.
현재 알약에서는 해당 바카라 꽁 머니코드에 대해Backdoor.Remcos.A로 탐지 중에 있으며, 관련 IoC는 Threat Inside에서 확인하실 수 있습니다.
