> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
회계법인 사칭 ‘송장파일 공유’ 악성문서 유포
안랩 “업무 관련 내용 위장 악성메일, 직장인 대상으로 전송…정상 사용자가 발신한 것 처럼 속여”
2019년 10월 28일 13:45:49 김선애 기자 iyamm@datanet.co.kr

[데이터넷] 회계법인에서 보낸 ‘송장파일’을 위장한 악성문서가 유포되고 있다. 안랩(대표 권치중)은 직장 PC 사용자에게 위장 메일을 전송하고 악성 파일 다운로드를 유도하는 사례가 발견됐다고 28일 밝혔다. 공격에 사용된 문서는 송장 파일공유나 급여명세서 등을 위장한 악성 메일을 무작위로 발송했다. 이 메일에는 악성 엑셀(.xls)파일 공유 다운로드 URL이 포함되어 있거나 파일이 직접 첨부돼 있었다.

송장 파일공유 위장 메일의 경우 공격자는 특정 회계법인을 사칭해 ‘송장파일 공유’ 메일을 보냈다. 메일 본문에는 ‘OO회계법인이 송장 파일공유를 위해 회원님을 초대했다’는 메시지와 드롭박스를 사칭한 파일 다운로드 URL이 포함되어 있다. 공격자가 실제 드롭박스의 로고와 동일한 이미지를 사용했기 때문에 사용자는 가짜 URL임을 알아채기 어렵다.

만약 사용자가 해당 URL을 클릭하면 가짜 송장 엑셀파일이 다운로드된다. 해당 파일을 실행하면 ‘내용을 보려면 콘텐츠 사용을 클릭하라’는 메시지가 뜨면서 악성 매크로 사용을 유도한다. 만약 ‘콘텐츠 사용’을 누르면 악성 매크로에 의해 PC가 악성코드에 감염된다.

   

▲‘송장 파일 공유’로 위장한 악성 메일

급여명세서를 위장한 악성메일이 발견되기도 했다. 공격자는 의심을 피하기 위해 특정인의 이름을 송신자로 설정했다. 또, 메일 본문에는 ‘한 달 동안 수고 많으셨습니다’, ‘경조금 처리 완료’ 등의 문구를 넣어 사용자 의심을 피하고, 악성 매크로 사용을 유도하는 엑셀 문서를 직접 첨부했다.

두 사례 모두 PC감염 이후 악성 행위 수행 과정은 동일하다. 악성코드는 사용자 몰래 C&C 서버로 접속해 컴퓨터 이름과 사용자 이름, 운영체제 등의 정보를 공격자에게 전송한다. 뿐만 아니라 추가 악성코드도 설치할 수 있어 사용자의 각별한 주의가 필요하다.

안랩 관계자는 “공격자는 사용자의 의심을 피하기 위해 메일 내용과 악성파일 유포 방식을 지속적으로 변경한다”며 “따라서 평소 출처가 불분명한 메일의 발신자를 꼭 확인하고 첨부파일 실행을 자제하는 등 기본 보안 수칙을 지키는 것이 중요하다”고 말했다.

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://t564.ndsoftnews.com) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  송장파일, 악성문서, 안랩
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr