​

대표적인 클라우드 서비스 트레소리트(Tresorit)를 이용한 Formbook 악성바카라 게임이 유포 중인 정황이 발견되어 사용자들의 주의가 필요합니다.

이번에 발견된 악성메일은 "service@dropbox.com shared "Revised_Contract.pdf" to you via Dropbox" 이라는 제목으로 수신되었으며, 본문에 기재된 Dropbox 링크를 통해 허위 견적서 바카라 게임을 다운로드하도록 유도합니다.

메일 본문에 기재된 링크는 Dropbox가 아닌 Tresorit 서비스 링크로 연결되며, Formbook 악성 바카라 게임이 담긴 압축바카라 게임을 다운로드할 수 있습니다.

Contract_Signed_20219827304.zip 바카라 게임 내부에는 2개의 바카라 게임이 포함되며, 바카라 게임명만 다른 동일한 해쉬를 가진 바카라 게임입니다.

• Contract_Signed_20219827304.exe
• Project_20219827304239.exe

사용자가 압축 바카라 게임을 해제하여 실행할 경우, 시스템 정보, 브라우저 크리덴셜 정보, 현재의 화면 스크린샷, 시스템 종료/재시작, 추가 다운로드 기능들을 수행하는 Formbook 악성코드가 동작하게 됩니다.

• C2 정보 : hxxp://www[.]sainworks[.]com/nyk/

Formbook은 정보 수집 및 명령 제어 기능을 수행하는 악성코드로 초기부터 현재까지 유사한 코드로 동작하고 있기 때문에 Formbook에 대한 상세 분석은 아래 링크에서 확인하실 수 있습니다.

▶

이와 같이 출처가 불분명한 메일에 기재된 링크는 실행하지 않은 것이 좋으며, 백신의 실시간 감시를 사용하고, 정기적인 검사를 습관화하여야 합니다.

현재 바카라 게임에서는 'Trojan.Agent.FormBook' 탐지 명으로 탐지 중입니다.