견적에서 법원판결문까지, 이런 이메일 주의하세요!

2020.07.09. 15:19:44

조회 수: 1180

공감 수: 13

댓글 수: 26

* 출처는 안랩입니다.

다양한 형태로 개인정보를 탈취하는 악성코드가 유포중이니 주의하시길 바랍니다.

엑셀, 한글, HTML, 압축파일 등 다양한 형태의 첨부파일에 악성코드를 포함한 이메일 공격이 무차별적으로 감행되고 있다.

안랩는 자사 ASEC 블로그를 통해 최근 기승 부리고 있는 다양한 형태의 악성코드 유포 방법과 예방법에 대해 소개하며, 이러한 공격의 피해를 입지 않도록 사용자의 각별한 주의를 당부했다. 다음은 7월 들어 기승을 부리고 있는 이메일을 악용한 악성코드 유포 사례를 소개한다.

1. 견적, 구매 메일로 위장해 유포되는 악성코드

폼북(Formbook) 악성코드는 2017년 처음 보고된 이후 현재까지도 꾸준히 유포되고 있는 정보 탈취 유형의 악성코드이다.

최근에는 주로 견적, 구매 관련 메일로 위장하여 유포되고 있다. 메일에는 압축된 첨부파일이 포함되어 있으며 압축파일 내부에는 악성코드 실행 파일이 존재한다. 단순한 방식으로 유포되지만 유포량은 전체 악성코드 샘플 중에서 큰 비중을 차지하기 때문에 주의가 필요하다

[그림 1] 견적서를 위장해 유포되는 악성 메일 사례

폼북 악성코드는 견적, 구매, 주문, 발주, 선적 등의 키워드로 주로 유포되며 사용자가 메일을 열고 첨부파일을 실행하면 악성코드에 감염된다.

☞ 관련 ASEC 블로그 게시물 전문 바로가기

2. ‘북한의 회색지대 전략과 대응방안’ 한글 문서(HWP) 포함한 악성 메일 유포

‘북한의 회색지대 전략과 대응방안’이란 이름의 악성코드가 담긴 한글 문서도 유포되고 있다. 이 한글 문서가 2019년 10월 21일에 작성됐으며, 2020년 6월 23일에 공격자에 의해 수정된 것으로 추정되고, 해당 문서를 저장한 사람은 Venus.H로 확인됐다.

한글 문서 파일을 열면 취약한 내부에 있는 악성 포스트스크립트(EPS)가 동작해 악성의 기능을 수행하게 된다. 해당 EPS는 CVE-2017-8291 취약점을 발생시켜 내부 코드를 실행하도록 한다.

[그림 2] 한글 파일을 통해 유포되는 악성코드 사례

이 악성코드는 최종적으로 메모리에서 동작하며 정보 유출 기능을 갖는다. 이처럼 악성 한글문서는 특정 조직을 타깃으로 공격을 수행하기 때문에 출처가 불분명한 메일 및 첨부파일은 열람하지 않도록 주의해야 한다.

☞ 관련 ASEC 블로그 게시물 전문 바로가기

3. 공직메일(@korea.kr) 계정 탈취를 위한 피싱 메일 유포

공직자통합메일(korea.kr) 시스템 관리자를 사칭해 계정 정보 탈취를 시도하는 피싱 메일도 발견되었다. 메일의 발신자의 이름과 내용에 포함된 korea.kr은 국가 공직 메일 주소로 해당 메일 사용자를 대상으로 유포된 것으로 추정된다.

공격자는 의심을 피하기 위해 메일 발신자 이름을 ‘korea.kr’로 설정한 후 ‘[system Administrator]- Notice!’라는 제목으로 시스템 관리자를 사칭해 메일을 발송했다. 메일 본문에는 영어로 ‘해당 계정에 대한 접근이 곧 중단될 예정이다. 이를 취소하려면 아래 Cancel Now 버튼을 눌러라’는 내용을 적어 피싱 페이지로 연결되는 악성 URL 클릭을 유도했다. 사용자가 본문 내용에 속아 ‘Cancel Now’를 누르면 이메일 주소와 비밀번호를 입력을 유도하는 피싱 사이트로 이동된다.

[그림 3] 공직자통합메일 관리자를 사칭한 피싱 메일 유포 사례

사용자가 해당 피싱 사이트에 자신의 계정 정보를 입력하고 ‘Continue’ 버튼을 누르면 입력한 정보가 즉시 공격자에게 전송된다. 입력 후에는 정상 ‘대한민국 정책브리핑(www.korea.kr)’ 사이트로 연결되기 때문에 사용자는 계정 탈취를 의심하기 어렵다.

☞ 관련 ASEC 블로그 게시물 전문 바로가기

4. 국내 포털 계정정보 탈취용 피싱 메일 유포

국내 포털 사이트를 위장한 피싱 파일(HTML)이 스팸 메일을 통해 국내에 유포되고 있는 것을 확인했다. 스팸 메일은 송장과 관련된 내용으로 첨부 파일 실행을 유도한다. 첨부된 파일은 압축 파일(zip) 형태이며, 압축 파일 내부에는 국내 포털 사이트를 위장한 HTML 파일이 존재한다.

[그림 4] 국내 포털 사이트를 사칭한 피싱 메일에 포함된 악성코드 유포 사례

해당 HTML 파일 실행 시 특정 사이트로 리다이렉트(redirect)되며, 해당 사이트는 사용자의 계정 정보를 탈취하는 피싱 사이트이지만 정상 사이트와 매우 유사하여 사용자가 알아채기 힘들다.

* 전체내용은 아래주소에서 확인하세요.

https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=29373&utm_source=CM&utm_medium=eDM&utm_campaign=SL%5FtypeC&utm_content=826

태그: 등록된 태그가 없습니다.

점심드셧나요	L20 시나브로69
7월 고지서 겁나네요ㅎㅎ (2)	L7 lsm3327
오스트리아에서 테스트 중인 모듈형 참호	L20 야거커티스
7/9 전국 날씨 (1)	L20 야거커티스
날이 많이 덥네요.......... (1)	M2 Undisclosed
대한전공의협의회 복귀 조건 (6)	M4 plc-wave
오늘도 폭염 조짐이 보이는 날씨네요. (5)	M8 검은바다
알리 물주기 헤어드라이기 드디어 마무리 했네요. (4)	M8 검은바다
트럭의 사각지대 (6)	M2 꽃을든男子
맥도날드 익산고구마 모짜렐라 버거 출시 (7)	L20 시나브로69
엄마의 손 (6)	M1 파노백작
동풍이라서 조금은 시원한 시간이네요. (3)	L20 까망여우
(응모완료) 7월 다나와 래플 셋째날 응모했습니다. (7)	M2 관성
습도 높고 흐린 날씨에 수요일이네요. (8)	M2 관성
무더위가 계속 이어집니다. (8)	L19 벗꽃엔딩
다나와 7월 래플 이벤트 RX 9060 XT 3일차 응모완료!!! (8)	L15 느낌하나
전국 찜통더위 열대야 계속 (9)	M8 천사다나와
2003~2004년 서울 번화가 모습 (5)	L20 야거커티스
사람은 한 명인데 무덤은 10개인 고려시대 장수 (5)	L20 야거커티스
래플 3일차 응모 완료했습니다! (11)	L5 고장
7월 8일 박스오피스 (8)	M2 하늘을담은와인
선풍기 구입. (12)	M8 무한제리사랑
오늘은 제폰 액정 보호필름 교체를 했네요. (8)	M4 히이로진
상쾌하고 시원한 바람이 부는 밤이네요 (12)	L20 아피홀릭
비 지난 하늘 어디에 비 (8)	L20 skybulam
간만에 들린 비소식 (8)	L2 프리1234
물을 자주 마셔야 (9)	L7 cbd7
강풍에 비 오니까 그렇게 시원하더니 (9)	L7 myfanta
7/8(화) 14,987보를 걸었습니다. (13)	L15 느낌하나
비가 오네요. (10)	L13 이 방 인
지금 소나기가 내리고 있네요. (14)	M4 plc-wave
냉방병 걸린거 같네요;; (7)	L7 lsm3327
97%가 찬성한다는 빨간번호판 (23)	L20 시나브로69
어느 말기암 환자의 특별한 장례식 (3)	L20 야거커티스
충치 치료 시뮬레이션 (9)	L20 야거커티스
더위에 에어컨이라도 돌려드려야겠다 싶었는데... (10)	M8 검은바다
아 돌겠네. (3)	L4 vmoxmv
메가커피 - 왕메가사과유자 (8)	L13 이 방 인
더위 먹었네요. (4)	L13 이 방 인
중소기업 제품 카피해서 더 싼 가격에 판 대기업 (14)	L12 나그네우주
폭염이네요 (7)	L13 otosan
오늘 정말 덥네요 (6)	L15 HomeRun
화요일 오후네요 (5)	L20 아모스1
전국 대부분 폭염 특보 (8)	L1 유노이아스토어
스타벅스 딸기요거트스무디 한 잔 (12)	L12 까부수자
깡패네 깡패야 (5)	L1 유노이아스토어
손안의 세상 (19)	M4 plc-wave
아이디어 끝내주는 발명들 (11)	L20 야거커티스
7/8 전국 날씨 (4)	L20 야거커티스
어른이 될 시간 (13)	M1 파노백작
6월 이벤트로 받은 포인트 7월 룰렛으로 탕진했네요. (18)	M2 관성
[속보] 전국민 소비쿠폰 21일부터 지급 개시…11월까지 사용 (20)	M4 plc-wave
다나와 7월 래플 이벤트 RX 9060 XT 2일차 응모완료!!! (25)	L15 느낌하나
햇살이 나오니 .... (12)	L20 까망여우
(응모완료) 7월 다나와 래플 둘째날 응모했습니다. (12)	M2 관성
습도 높고 안개 낀 날씨에 화요일이네요. (12)	M2 관성
소나기 소식이 있습니다. (15)	L19 벗꽃엔딩
건강식단추천 (2)	L1 상어5463
초대형 크루즈 선박 건조 과정 (12)	L20 야거커티스
7월 7일 박스오피스 / F1 더 무비 100만 돌파 (9)	M2 하늘을담은와인
모기 맨손으로 잡을 때 팁 (17)	L20 야거커티스
전국 대부분 ‘폭염경보’ 일부 소나기 (20)	M8 천사다나와
퇴근하면서 주유하고 저녁에 운동하고 왔네요. (8)	M4 히이로진
글 작성하고 수정하려니 외계글이~--^ (9)	L20 아피홀릭
7/7(월) 8,229보를 걸었습니다. (16)	L15 느낌하나
벌써 하루가 다 갔네요. (4)	L5 왈라비3922
1일차 응모 완료했습니다! (11)	L5 고장
EAFF E-1 풋볼 챔피언십(동아시아컵) 대한민국vs중국 7일 오후8시,기분좋은승리를 기대합니다 (12)	L20 커팅크루
오징어게임3에 나오는 줄다리기를 보면 학창시절 생각이 많이나네요 (5)	L20 커팅크루
말잠자리가 있군요 (6)	L20 skybulam
아기가 태어날 때 엉덩이를 때려 울리는 이유 (7)	L20 야거커티스
엘리트 파일럿들만 마스터 할 수 있다는 비행기술 (7)	L20 야거커티스
레트로 수평 PC케이스 출시 (31)	L9 신상매냐
[당첨자 발표] 긱벤치AI로 내PC 들춰보잣! (29)	M8 검은바다
일본 동전파스 로이히츠보코 국내 정식 출시 (10)	L9 신상매냐
오호.. 까먹을뻔.. (9)	L12 까부수자
날씨 때문인지 불쾌지수가 높은가 시비도 걸어오고 싸움도 보이는 날이었네요. (12)	M8 검은바다
길거리를 배회하는 남자 (4)	L5 왈라비3922
월요일 오전이네요 (4)	L20 아모스1
야구선수와 병뚜껑야구하면 안되는 이유;; (4)	L5 왈라비3922
날씨 미쳤네요;; (5)	L5 왈라비3922
재미로 보는 주간 랭킹! (9)	M1 Or크ㅁr
많이 덥네요 (20)	L13 otosan
덥네요 더워 (8)	L1 유노이아스토어
멘톨비누 써보셨나요 (8)	L7 lsm3327
미세먼지 안좋은 지역이 있네요 (10)	L15 HomeRun
라데온 RX 9000 시리즈 공유이벤트 참여혜택: 포인트 지급됐네요 (32)	M4 plc-wave
다나와 7월 래플 이벤트 RX 9060 XT 1일차 응모완료! (22)	L15 느낌하나
오늘부터 점심 사진을 꼭 찍어야 하는 이유 (12)	L1 도남자
일본에서 개발한 흉기를 든 범인 제압하는 도구 (12)	L20 야거커티스
7/7 전국 날씨 (9)	L20 야거커티스
운동해도 소득공제 받을 수 있어요 (8)	L18 화월운
소서에 먹으면 좋은 보양식 5가지 (7)	L18 화월운
어떻게 살아야 하는지 물었습니다 (9)	M1 파노백작
포인트 마켓에서 마이크로닉스 BT-1000 V2를 구매 했네요 (31)	M20 야간순찰™
(응모완료) 7월 다나와 래플 첫째날 응모했습니다. (19)	M2 관성
습도 높고 흐린 날씨에 월요일이네요. (11)	M2 관성
무더운 날씨가 이어집니다. (16)	L19 벗꽃엔딩
나가 봐야 하네요. 작은 더위인 소서 (小暑) (17)	L20 까망여우
연필 공예 고인물 (22)	L20 야거커티스

비교하고 잘 사는, 다나와 : 가격비교 사이트

RanKING 100 도움말 보기

GNB 메뉴

GNB 메뉴

견적에서 법원판결문까지, 이런 이메일 주의하세요!

plc-wave 님의 다른 글 보기

비교하고 잘 사는, 다나와 : 가격비교 사이트

RanKING 100 도움말 보기

GNB 메뉴

GNB 메뉴

견적에서 법원판결문까지, 이런 이메일 주의하세요!

공유하기

공감/비공감

plc-wave 님의 다른 글 보기