내가 보낸 메일의 회신으로 악성코드가 왔다?
안랩, 다양한 업무메일 회신으로 유포되는 악성코드 주의 당부
- 표창발급 공적조서 송부/동영상 편집본 확인 요청/행사 초청장 등 사용자가 보낸 업무메일을 수집, 해당 메일의 회신으로 악성코드 유포 시도
- 첨부된 악성 엑셀파일의 ‘콘텐츠 사용’ 클릭 시 악성코드 감염, 추가 악성코드 다운로드 시도
- ▲출처가 불분명한 메일의 발신자 확인 및 첨부파일/URL 실행 자제 ▲OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 오피스 SW 등 프로그램 최신 보안 패치 적용 ▲백신 최신버전 유지 및 실시간 감시 기능 실행
안랩(대표 강석균, www.ahnlab.com )이 최근 다양한 주제의 업무 메일에 대한 회신으로 악성코드를 유포하는 사례를 발견하고 사용자 주의를 당부했다.
공격자는 공적조서 송부, 동영상 편집본 확인 요청, 학술 행사안내 등 주제의 업무관련 메일을 미리 수집했다. 이후 해당 메일을 발송한 사용자를 타겟팅해 악성 엑셀파일이 담긴 압축파일을 첨부해 회신 메일을 보냈다. 특히 공격자는 회신에 정보공개 협박 및 업무 요청을 기재해 사용자의 첨부파일 실행을 유도했다.
이번에 발견한 악성 메일은 총 3종류(보충자료 참조)다. ▲먼저 공격자는 특정 사용자가 표창 발급을 위해 발송한 공적조서 메일에 대한 회신으로 “당신의 상사에게 이 메일을 보여줄까?”라며 “정보가 공개되기 전에 첨부파일을 확인하라”는 협박성 내용을 기재했다 ▲또, 다른 사용자가 보낸 동영상 편집본 확인 요청 메일에 “모든 데이터를 직접 확인하면 좋겠다, 파일을 첨부했다”는 내용으로 회신하기도 했다 ▲이외에 공격자는 특정 단체가 발송한 학술행사 안내 메일에 대한 회신으로 “일주일 전에 확인하라고 요청한 내용이 있다. 파일을 복사했으니 확인하라”는 내용을 보내 악성 첨부파일 실행을 유도하기도 했다.
세 경우 모두 악성코드 동작 방식은 동일하다. 만약 사용자가 무심코 해당 회신 메일의 첨부파일을 내려받아 악성 엑셀파일(.xlsm)을 실행하면 ‘내용을 보기 위해 콘텐츠 사용 버튼을 클릭하라’는 메시지가 등장한다. 사용자가 메시지에 속아 화면 상단의 ‘콘텐츠 사용’ 버튼을 클릭할 경우 악성코드에 감염된다.
감염 이후 악성코드는 C&C 서버(*)에 접속해 랜섬웨어, 정보유출 악성코드 등을 추가로 다운로드할 수 있다. 현재 V3 제품군은 해당 악성코드를 진단하고 있다.
*C&C서버: Command & Control 서버. 공격자가 악성코드를 원격으로 조종하기 위해 사용하는 서버
이와 같은 악성코드 피해를 줄이기 위해서는 ▲출처가 불분명한 메일의 첨부파일/URL 실행금지 ▲백신 최신버전 유지 및 실시간 감시 기능 실행 ▲파일 실행 전 최신 버전 백신으로 검사 ▲OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 오피스 SW 최신 보안 패치 적용 등 필수 보안 수칙을 실행해야 한다.
안랩 분석팀 장서준 주임연구원은 “이번 사례는 공격자가 다양한 방법으로 사용자가 보낸 메일을 수집해 해당 메일의 회신으로 악성코드 유포를 시도한 것이 특징”이라며, “직접 보낸 메일에 대한 회신이기 때문에 사용자들이 의심하지 않고 피해를 당할 수 있어, 이를 예방하기 위해서는 출처가 불분명한 메일이나 첨부파일 등은 실행하지 말아야한다”고 말했다.
[보충자료]
'AhnLab News' 카테고리의 다른 글
2021.06.09 안랩, 디도스 대응 및 네트워크 통합위협관리 솔루션 신규 제품군 출시 (0) | 2021.06.09 |
---|---|
2021.06.04 V3 모바일 시큐리티, ‘AV-TEST’ 모바일 부문 50회 연속 인증 획득 달성 (0) | 2021.06.04 |
2021.05.28 안랩, 온라인 ‘라이브(Live) 직무 멘토링’ 진행 (0) | 2021.05.28 |
2021.05.27 안랩, 생활밀착형 보안 웹툰 ‘오갑살’ 네이버 도전만화에 연재 (0) | 2021.05.28 |
2021.05.18 안랩, 다양한 기업 ·기관과 손잡고 ‘오픈 이노베이션’ 가속화 (0) | 2021.05.18 |