연말 숙박 예약시 ‘부킹닷컴 사칭 메일’ 주의

부킹닷컴 사칭한 메일 통해 악성코드 유포되고 있어...

[보안뉴스 김태형] 안랩 시큐리티대응센터(이하 ASEC)는 연말에 휴가를 계획 중이라면 예약 관련 내용의 메일을 확인할 경우 주의가 필요하다고 당부했다.

ASEC는 오늘 “전 세계 26만여개의 숙박업체 예약 서비스를 하고 있는 Booking.com(부킹닷컴)을 사칭한 메일을 통해 악성코드가 유포되고 있다”면서 이같이 밝혔다.

▲부킹닷컴을 사칭한 악성코드 첨부 메일 원본

이러한 스팸 메일은 지난 7월에도 보고 된 바 있고 10월에는 시스코사의 위협 발생 경보에 허위 호텔 예약 확인이라는 이메일 내용이 공개된 적이 있다.

해당 악성코드는 사회공학적 기법을 이용해 휴가시즌에 주로 메일을 통해 유포되고 있으며 메일 본문에는 예약 내용 확인을 위해 첨부 파일 실행을 유도하고 있다.

메일에 첨부된 압축 파일을 해제하면 Booking Summary Details.pdf.exe 파일을 확인할 수 있다. 해당 파일을 실행하면 자기 복제 본을 svchost.exe 파일 이름으로 다음과 같이 생성하고 레지스트리 값에 등록하여 부팅 시 자동 실행되도록 한다.

[파일 생성]

%ALLUSERSPROFILE%\svchost.exe

[레지스트리 등록]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="%ALLUSERSPROFILE%\svchost.exe"

svchost.exe 파일이 실행되면 아래 그림과 같이 TCP 8000 포트를 오픈 하여 대기 상태인 것을 확인할 수 있다.

▲svchost.exe의 네트워크 연결 정보

V3 제품에서는 아래와 같이 진단이 가능하다.

-Win-Trojan/Jorik.38400.F

[김태형 기자(boan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)