해운사사칭 악성이메일도 유포
최근 ‘결제 송장’으로 위장한 악성 이메일이 대량 유포되고 있는 것으로 드러났다. 업무용을 위장한 악성코드 메일은 최근 급증하는 추세다. 경계가 필요하다
해운회사사칭 악성이메일 유포
보안업체 이스트시큐리티의 시큐리티대응센터(ESRC)에 따르면 지난 19일부터 국내 특정 해운회사의 이메일 주소를 사칭하는 악성 이메일이 유포되고 있다. 이 악성 이메일은 기존에 유포되던 송장으로 위장한 악성 이메일과 크게 다르지 않지만. MS office 문서파일 및 HWP 문서파일이 아닌 PDF 문서를 첨부한 것이 특징이며 부자연스러운 인사말을 쓰고 있는 것으로 나타났다. 메일에 첨부된 악성 PDF 파일 내에는 악성 매크로가 포함된 Excel 파일이 들어가 있는데, 만약 사용자가 악성 PDF 문서를 실행할 경우 Adobe Reader에서는 경고창을 띄워 사용자에게 경고하고 있다. 이 과정에서 사용자가 ‘허용 안 함’을 클릭하면 더 이상의 악성 행위가 이루어지지 않지만, 만약 ‘이 파일 열기’를 선택한 후, 확인을 누르면 PDF 파일 내 포함되어 있던 악성 Excel 파일이 메모리 내에서 자동으로 실행된다는 게 ESRC 측의 설명이다.
만약 사용자가 [매크로 포함]을 클릭한다면, Excel 파일에 포함되어 있던 매크로 스크립트가 실행되며, 공격자가 세팅해 둔 악성 파일을 내려 받고 실행하는 과정을 거치게 된다. 이렇게 실행된 파일은 다시 공격자가 사전에 세팅해 둔 구글 드라이브에 접속해 추가 파일을 다운받은 후, 악성 행위를 수행하는 것으로 분석됐다. 공격자는 ‘결제 송장’ 외에 ‘FedEX’를 사칭하거나 ‘Scan’이라는 파일명으로도 악성 PDF 파일을 활용하고 있으며, C&C 서버 주소 차단을 방지하기 위해 구글 드라이브 주소를 통해 악성 페이로드를 내려 받고 있는 것으로 드러났다.
업무메일 위장 급증
업무용을 위장해 개인정보를 탈취하는 악성코드 메일은 최근 급증하고 있다. 업무메일 위장 악성메일은 첨부된 악성코드 파일로 PC를 감염시켜 사용자의 이름·운영체제·PC 활동 내역 등의 정보를 악성코드 공격자에게 전송해 개인정보를 탈취한다. 사용자 PC 원격제어·추가 악성코드 설치 등의 피해도 발생할 수 있다.
악성코드 유포 메일은 실제 존재하는 기업과 기관을 사칭하고 발주 및 견적의뢰서·송장·이력서 등으로 위장해 무작위로 발송된다. 메일 본문에 '상세 내용은 첨부파일을 확인해달라'“며 구체적인 내용까지 기재해 피해자가 의심없이 메일에 첨부된 악성 파일을 내려받도록 유도한다. 이같은 악성메일은 형태도 다양해서 지난 1월에는 이력서를 위장한 악성 메일이 발생했으며,우체국을 사칭해 배송 정보 송장으로 위장한 악성 메일 유포 사례도 발견됐다.
특히 이 달초에는 신종 코로나바이러스 정보로 위장해 악성코드를 퍼뜨리는 메일이 발견됐는데, 제목을 ‘Coronavirus Update : China Operations’라고 달아놓고 현재 신종 코로나바이러스와 관련된 중국 내 상황과 기업 대응 등에 대해 간략히 언급하면서 ‘생산 일정이 재개되는 일정은 첨부 파일을 확인하라’는 내용을 담고 있었다. 보안 전문가들은 의심스러운 메일은 열어보지 말고, 백신을 최신 버전으로 업데이트할 것을 당부하고 있다. 이와 관련 ESRC 측은 “출처가 불분명한 사용자에게서 온 메일인 경우 메일에 포함된 첨부파일 다운로드는 절대적으로 금지해야 하며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 줄 것”을 당부했다.