[아이뉴스24 최은정 기자] 안랩은 지난달부터 이달까지 업무 관련 메일로 위장한 악성코드 유포 사례가 지속적으로 발견됐다며 20일 사용자 주의를 당부했다.
공격자는 실제 존재하는 기업·기관을 사칭해 발주·견적의뢰서, 송장, 이력서 등으로 위장한 악성메일을 무작위로 발송했다. 메일 본문에 '상세 내용은 첨부파일을 확인해달라'는 등 구체적인 내용을 적어 사용자가 메일에 첨부된 악성파일을 내려받도록 유도했다는 게 안랩 측 분석이다.
먼저 이달 발견된 발주·견적의뢰서 위장 악성메일의 경우, 공격자는 실존하는 특정 기업을 사칭해 '발주서 송부' 메일을 보냈다. 메일에는 '견적을 의뢰하니 첨부 파일을 참조해 협조 부탁드린다'는 내용과 함께 'OOO(기업명)-발주서 송부의 건'을 파일명으로 하는 악성파일을 첨부했다.
같은 시기 송장으로 위장한 악성메일 유포 사례도 발견됐다. 공격자는 우체국을 사칭했으며, '배송 정보' 제목의 메일을 발송했다. 메일에는 '사무실에 잘못된 주소의 소포가 있다. 첨부 파일을 확인해 지역 사무실을 방문해달라'라는 본문과 함께 '배송정보 문서' 파일명의 악성파일을 첨부했다.
지난달에는 이력서를 위장한 악성메일이 발견되기도 했다. 공격자는 의심을 피하기 위해 메일의 첨부파일에 '이력서(날짜) 뽑아주시면 열심히 하겠습니다 잘 부탁드립니다'라는 이름의 악성파일을 첨부했다. 해당 악성파일의 아이콘 이미지를 PDF문서 아이콘으로 꾸며 사용자가 PDF문서파일로 오인해 해당 악성코드를 실행하도록 유도했다.
이번에 안랩에서 발견한 악성코드는 모두 PC를 감염시키고, 이후 컴퓨터 사용자 이름, 운영체제(OS), PC 활동 내역 등 사용자 정보를 공격자에게 전송한다. 사용자 PC 원격제어, 추가 악성코드 다운로드 후 설치 등 추가 악성행위도 이어질 수 있다. 현재 안랩 백신(V3)이 해당 악성코드를 진단하고 있으며 악성코드가 접속하는 명령제어(C&C) 서버 주소는 차단된 상태다.
양하영 안랩 분석팀장은 "향후에도 공격자는 기업 사용자가 관심을 보일 수 있는 다양한 주제를 활용해 악성코드 유포를 시도할 것"이라며 "메일 발신자 확인과 첨부파일 실행 자제, 소프트웨어(SW)업데이트 설치 등 기본 보안 수칙을 지키는 습관이 필요하다"고 조언했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기