​​

"PaymentError"제목의스팸메일이발송되고있어사용자의주의가필요합니다.

​​

​[그림1]스팸메일화면

메일본문에는사용자가계좌로지불한내역이오류가있었고,아래의링크에서첨부파일을다운로드하여은행 정보가맞는지확인하라는내용이기재되어있습니다.

링크가연결된사이트에는다운로드할수있는2개의파일이존재하며,해당파일 들은각각ProformaInvoice.doc.exe,PaymentDetails_xcod.exe파일명으로생성되어있으며Word,PDF문서의아이콘으로위장되어있습니다.

​

[그림 2] 링크 클릭 시 악성코드 다운로드 사이트 화면

2개의파일은모두ResmcosRAT악성코드로써실행시C&C통신이후스크린샷,키로깅,레지스트리추가및편집,공격자명령실행등다양한악성 행위를할수있습니다.

이번에사용된RemcosRAT는3.8.0Pro버전으로2022년8월21일에릴리즈 된최신 버전으로악성파일내에버전 정보가하드 코딩되어있습니다.또한바카라 카지노 프로그램을우회하기위해.NET을이용하였습니다

[그림3]하드코딩된RemcosRat버전정보

RemcosRAT악성코드는스팸메일을통해지속적으로유포되고있으며,사용자여러분들께서는이메일수신시반드시발신자의이메일주소를확인하시고,첨부파일실행전확장자를확인하는습관을기르셔야합니다.

현재알약에서는해당악성코드에대해Backdoor.Remcos.A 로탐지 중에있습니다.