안랩, 무역 거래 위장 메일로 유포되는 악성코드 주의 당부
- 인도네시아어로 작성된 메일로 ‘첨부된 상품 및 배송비 견적 확인해달라’며 첨부파일 실행 유도
- 파워포인트 확장자 첨부파일 실행 후 ‘매크로 포함’ 버튼 클릭하면 악성코드가 포함된 웹페이지로 이동, 정보유출 악성코드 등 감염
- 피해 예방을 위해 ▲출처가 불분명한 메일의 첨부파일 실행 금지 ▲발신자가 신뢰할 수 있는 사람이나 조직의 이름이더라도 메일주소 재확인 ▲출처가 불분명한 문서 파일의 ‘콘텐츠 사용’ 또는 ‘매크로 포함’ 버튼 클릭 자제 ▲최신 버전 백신 사용 등 보안수칙 준수 필요
안랩(대표 강석균, www.ahnlab.com )이 무역 거래 관련 내용을 위장한 메일 속 첨부파일을 이용해 악성코드를 유포하는 사례를 발견해 사용자의 주의를 당부했다.
공격자는 먼저 인도네시아어로 ‘가격 정보를 부탁드립니다(Mohon Info Harga)’라는 제목으로 메일을 보냈다(보충자료 참고). 본문에도 인도네시아어로 ‘첨부된 상품 및 배송비 견적을 확인해달라(Mohon di bantu penawaran harga untuk dan ongkos kirim barang seperti terlampir di bawah ini)’며 첨부파일 실행을 유도했다. 첨부된 파일은 MS 파워포인트 프로그램에서 실행 가능한 PPAM파일(.ppam*)이다.
*PPAM 파일: 사용자 정의 매크로 및 VBA(비주얼 베이직 애플리케이션)코드 등 특수기능을 저장한 파워포인트 확장자
첨부 파일을 실행하면 ‘Microsoft PowerPoint 보안알림’ 창이 나타난다. 사용자가 무심코 ‘매크로 포함’ 버튼을 누를 경우 파일에 포함된 악성 매크로가 작동하며 악성코드가 포함된 웹사이트로 연결(리다이렉션) 된다. 사용자가 이 웹페이지에 접속만 해도 사용자 정보유출, 추가 악성코드 다운로드 등의 악성행위를 수행하는 악성코드가 다운로드된다. 현재 V3 제품군은 해당 악성코드를 진단하고 있다.
악성코드 피해를 예방하기 위해서는 ▲출처가 불분명한 메일의 첨부파일 실행 금지 ▲발신자가 신뢰할 수 있는 사람이나 조직의 이름이더라도 메일주소 재확인 ▲출처 불분명한 문서 파일의 ‘콘텐츠 사용’ 또는 ‘매크로 포함’ 버튼 클릭 자제 ▲최신 버전 백신 사용 등 기본적인 보안 수칙을 지켜야한다.
안랩 분석팀 장서준 주임연구원은 “7월 말부터 업무 관련 메일에 파워포인트 형식의 파일을 첨부해 악성코드를 유포하는 사례가 지속적으로 발견되고 있다”며 “특히 무역 분야 종사자의 경우 외국어로 된 업무 메일을 일상적으로 접하기 때문에 발신자와 메일 주소를 재확인 하는 등 더욱 철저한 주의가 필요하다”고 말했다.
[보충자료] 무역 거래 위장 메일
'AhnLab News' 카테고리의 다른 글
2021.09.01 안랩, 고객사 보안실무자 대상 솔루션 활용방안 세미나(‘안랩 온라인 세미나 2021’) 개최 (0) | 2021.09.01 |
---|---|
2021.08.31 안랩, 이화여자대학교 사이버보안전공 학생들과 온라인 ‘라이브(Live) 견학’ 진행 (0) | 2021.08.31 |
2021.08.20 안랩, ESG 경영 강화를 위한 TF 8월 본격 출범 (0) | 2021.08.20 |
2021.08.19 안랩 V3, AV-TEST의 PC부문(개인기〮업사용자) 모두 진단율 만점으로 인증 획득 (0) | 2021.08.19 |
2021.08.13 안랩, 신규 하이엔드급 차세대방화벽 ‘안랩 트러스가드 20000B’ 출시 (0) | 2021.08.17 |