거래 송장 위장 메일 주의보... '문서파일·URL 첨부'로 악성코드 유포
거래 송장 위장 메일 주의보... '문서파일·URL 첨부'로 악성코드 유포
  • 이광재 기자
  • 승인 2018.12.19 16:47
  • 댓글 0
이 기사를 공유합니다

 안랩이 최근 '구매 송장(invoice)' 메일로 위장해 사용자 정보를 노리는 악성코드 유포 사례가 발견돼 사용자의 주의가 필요하다고 19일 밝혔다.
 
안랩에 따르면 먼저 공격자는 크리스마스와 연말 선물 등 온라인 구매가 많아지는 최근 시기에 'Invoice 000(랜덤숫자)', 'Invoice Confirmation(송장 확인)' 등 해외 거래 송장으로 위장한 메일을 발송해 사용자의 의심을 피했다.
 
공격자는 해당 위장메일에 문서 파일(.doc)로 된 악성파일을 직접 첨부하거나 악성 URL을 포함시켜 악성파일을 다운로드 유도하는 방식으로 악성코드를 유포했다.
 
▲ 공격자가 발송한 '구매 송장(invoice)' 위장 메일 (제공=안랩)     

만약 사용자가 첨부된 악성파일이나 다운로드 받은 악성 파일을 실행하면 정상 문서 파일 화면과 "매크로를 사용할 수 없도록 설정했습니다"라는 안내와 함께 매크로 설치를 권유하는 '콘텐츠 사용' 버튼이 나타난다. 사용자가 무심코 '콘텐츠 사용' 버튼을 클릭하면 '이모텟(Emotet)' 악성코드가 실행된다.
 
이모텟 악성코드는 사용자 몰래 PC에 실행 중인 웹 브라우저를 확인한 뒤 ID, 패스워드 등 사용자 정보 및 감염 PC의 시스템 정보를 탈취해 이를 공격자에게 전송한다.
 
또 특정 웹사이트에 접속해 추가 악성코드를 다운로드 시도하며 사용자 PC가 켜질 때마다 이모텟 악성코드가 동작하도록 사용자 PC 설정을 변경하기도 한다.
 
안랩은 이와 같은 악성코드의 피해를 줄이기 위해서 출처가 불분명한 메일의 첨부파일/URL 실행금지, 백신 최신버전 유지 및 실시간 감시 기능 실행, 파일 실행 전 최신 버전 백신으로 검사, OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 오피스 SW 등 프로그램 최신 보안 패치 적용 등 필수 보안 수칙을 실행해야 한다고 당조했다.
 
안랩 ASEC대응팀 박태환 팀장은 "온라인 거래가 많아지는 연말에는 기업 담당자나 해외 직구 사용자 등을 노린 공격이 많다"며 "피해를 예방하기 위해서는 평소 출처가 불분명한 메일의 첨부파일 실행에 주의하는 등 보안 수칙 생활화가 필수"고 말했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • 서울특별시 마포구 합정동 386-12 금성빌딩 2층
  • 대표전화 : 02-333-0807
  • 팩스 : 02-333-0817
  • 법인명 : (주)파이낸셜신문
  • 제호 : 파이낸셜신문
  • 주간신문   
  • 등록번호 : 서울 다 08228
  • 등록일자 : 2009-4-10
  • 발행일자 : 2009-4-10
  • 간별 : 주간  
  • /  인터넷신문
  •   등록번호 : 서울 아 00825
  • 등록일자 : 2009-03-25
  • 발행일자 : 2009-03-25
  • 간별 : 인터넷신문
  • 발행 · 편집인 : 박광원
  • 편집국장 : 임권택
  • 전략기획마케팅 국장 : 심용섭
  • 청소년보호책임자 : 임권택
  • Email : news@efnews.co.kr
  • 편집위원 : 신성대
  • 파이낸셜신문 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 파이낸셜신문. All rights reserved.
인터넷신문위원회 ND소프트