‘진짜 같은 피싱 메일’…안랩 "전문가 자문 요청 악성코드 주의"

등록 2022.08.03 10:06:14수정 2022.08.03 10:39:43

자문 요청에 긍정적 답장 보내면 악성코드 담긴 메일 회신하는 수법

구매 주문 관련 메일 보낸 후 피싱사이트로 유도하는 사례도 발견

안랩 “출처 불분명한 메일 속 첨부파일 실행 등 자제해야”

안랩은 최근 전문가 자문 요청 등으로 위장한 피싱 메일로 악성코드를 유포하는 사례를 발견했다고 밝혔다. 사진은 자문요청에 응한 사용자에게 공격자가 회신한 악성 메일. (사진=안랩 제공) *재판매 및 DB 금지

[서울=뉴시스]송종호 기자 = 안랩은 최근 전문가 자문 요청 등으로 위장한 피싱 메일로 악성코드를 유포하는 사례를 발견했다며 주의를 당부했다.

3일 안랩에 따르면 공격자는 자문 요청 메일에 응한 사용자에게만 악성코드가 포함된 메일을 회신하는 수법을 사용했다.

또 실제 포털 사이트와 유사하게 제작된 피싱 사이트로 연결되는 첨부파일을 함께 송신하는 등 교묘하게 위장하기도 했다.

지난달 안랩이 발견한 악성 메일에서 공격자는 특정 기관을 사칭한 메일을 전송했다. 해당 메일에는 ‘전문가의 의견을 수렴해 보고서를 작성하고 있다. 일정상 불가하시더라도 꼭 회신해달라’는 내용을 포함해 사용자의 회신을 유도했다. 이후 공격자는 메일을 받은 사용자의 회신 내용에 따라 각기 다른 내용으로 회신을 보냈다.

사용자가 자문요청에 긍정적인 답변을 보낼 경우 ‘자문요청서.docx’라는 제목의 악성 문서파일을 다운로드하는 인터넷주소(URL)를 메일로 회신했다. 사용자가 해당 문서파일을 내려받아 실행하면 문서 상단에 콘텐츠 사용 버튼을 클릭하라는 내용이 나오고, 해당 버튼을 누르면 악성코드가 실행된다.

감염 후 해당 악성코드는 특정 URL에 접속을 시도하는데, 이후 악성코드를 추가로 설치해 정보유출 등 악성행위를 시도할 수 있다. 만약 사용자가 자문요청에 거절의사를 밝힐 경우 ‘번거롭게 해드려 죄송하다’는 내용의 메일을 보내고 공격을 종료했다.

또 정교하게 위장한 피싱 페이지로 연결을 유도해 사용자 계정정보를 노린 공격 사례도 있었다. 공격자는 먼저 특정 제조회사를 사칭한 메일을 보내고, 본문에 제품 제작 관련 요청 내용과 함께 ‘첨부파일을 확인하라’는 문구로 첨부파일 실행을 유도했다.

사용자가 ‘구매 주문.html’이라는 제목의 첨부파일을 실행하면 유명 포털 사이트의 실제 로그인 페이지와 유사하게 제작된 가짜 로그인 사이트로 연결된다. 사용자가 자신의 계정정보를 입력하고 로그인 버튼을 누르면 악성코드가 실행돼 공격자에게 즉시 해당 정보가 전송된다. 공격자는 탈취한 계정정보를 메신저 피싱, 스팸메일 발송 등 추가적인 범죄에 사용할 수 있어 주의가 요구된다.

안랩은 이외에도 특정 회사의 견적서를 사칭해 정보유출 악성코드를 유포하거나 저작권을 위반했다는 내용의 사칭 메일로 랜섬웨어 감염을 시도하는 사례가 늘고 있다고 밝혔다.

김건우 안랩 시큐리티대응센터장은 “메일을 활용한 악성코드 유포나 계정정보 탈취 시도는 오래전부터 꾸준히 등장하는 공격 수법으로 공격자가 애용하는 방식”이라며 “사용자는 출처가 불분명한 메일 속 URL과 첨부파일 실행은 최대한 자제해야 하는 등 보안수칙을 생활화해야 한다”고 말했다.

◎공감언론 뉴시스 [email protected]