보안전문업체 하우리(대표 김희천)는 유명 해외 배송업체를 사칭한 악성메일이 국내 유포됐다고 5일 밝혔다.
유포된 악성메일은 '수입세금 납부마감 안내'라는 제목과 '세금 납부서'라는 첨부파일로 발송된다. 메일 본문은 수신자에게 한국어로 기한 내에 통관 세금을 납부해야 한다고 안내한다. 또 수신자가 첨부 파일을 확인하도록 유도한다. 첨부 파일은 매크로가 포함된 엑셀 파일이다. 실행 시 악성코드를 내려받아 실행한 PC를 감염시킨다.
악성코드가 실행되면 사용자PC에 설치된 FTP 관련 소프트웨어의 계정 정보(서버 주소, 아이디, 패스워드)와 웹브라우저에 저장된 계정 정보를 수집한다. FTP 관련 레지스트리 정보와 아웃룩 프로그램에 저장된 사용자의 이메일 정보도 수집한다. 수집된 데이터는 해커가 준비한 외부의 제어 서버로 전송된다.
관련기사
- 하우리 "주문·견적·결제 요청하는 가짜서명 메일 요주의"2018.06.05
- 하우리, 국방부 내부망 백신 구축 완료2018.06.05
- "한국어 지원 추가된 사탄 랜섬웨어 새버전 유포"2018.06.05
- 하우리 "파워셸 ‘엠파이어’를 이용한 APT공격 증가"2018.06.05
해당 악성코드는 가상 환경에서 실행되지 않는다. 백신이나 악성코드 분석 도구 등이 실행 중이면 작동하지 않는다. 악성코드 분석과 탐지를 방해하는 기능도 가지고 있다.
하우리 보안연구센터 최상명 팀장은 "최근 해외 배송 구매자들이 많아지는 추세를 해커들이 교묘하게 악용하고 있다"며 "이메일을 열람하기 전에 유해성을 확인하는 습관이 필요하다"고 말했다.
