[기사분석4] 보안뉴스_유명 손해보험사 위장 피싱 메일로 'Remcos' 악성코드 유포

제목 : 유명 손해보험사 위장 피싱 메일로 'Remcos' 악성코드 유포

 

기사 요약

실제 손해보험사를 위장하여 피싱 메일이 보내지고 있다. 이 피싱 메일에는 html 파일이 첨부되어 있으며, 실행할 경우 password 가 적힌 페이지와 함께 하나의 압축파일이 다운된다고 한다. 압축파일을 압축 해제할 경우 pdf 아이콘으로 위장한 실행파일(exe)을 확인할 수 있다. 이 악성 파일은 Remcos RAT 1.7 Pro버전으로, 보안 프로그램을 우회하기 위해 .NET를 이용했으며, 내부 악성코드 모듈 내에는 버전 정보가 하드코딩 되어 있다.

 

피싱 메일 예방하기

- 이메일 수신 시 발신자의 이메일 주소 확인

- 파일 실행 전 확장자를 확인하는 습관 기르기

---

의문점 및 조사해야 할 개념

- Remcos 악성코드 원리 및 방어 방법 조사

- html 파일이 인터넷과 연결되는 그 파일인지, html 파일이 정확히 어떤것인지

- NFT 확장자가 무엇이길래 보안 프로그램을 우회할 수 있는가

- "현재 알약에서는 해당 악성코드에 대해 Backdoor.Remcos.A로 탐지 중에 있다” 이 문장이 이해되지 않아 더 찾아봐야겠다. 백도어 악성코드 중 하나인게 Remcos 악성코드인가...?

- 하드코딩은 무엇이고 어떤식으로 하는 것인지

---

Log4j 관련 취약점도 RCE, 즉 원격제어가 가능한 취약점으로 기억한다. RCE 취약점인 악성코드가 가장 위험하다고 느껴지는 원격제어 외에도 어떤 종류의 취약점들이 있는 지 궁금하다. 악성코드에 대해서 더 자세히 공부해보고 싶다.