금융권 정보 탈취에 주로 악용됐던 악성코드 '이모텟(Emotet)'이 일본에서 신종 코로나에 대한 정부 안내문을 사칭한 메일을 통해 유포되고 있는 것으로 나타났다.
29일(현지시간) 보안 전문 매체 블리핑컴퓨터에 따르면 이번 공격이 이전 공격에서 탈취한 이메일 계정을 사용하고 있으며, 일본 기후, 오사카, 돗토리 등 여러 지역의 코로나 바이러스 감염 현황을 보고하는 내용으로 위장하고 있다.
IBM 보안 연구팀인 X-포스는 위협 인텔리전스 보고서에서 이번 공격 내용을 다뤘다. 보고서에서 IBM X-포스는 유포되고 있는 악성 메일들의 제목과 파일명은 비슷하지만, 완전히 동일하진 않으며 긴박한 인상을 주기 위해 '알림'과 현재 날짜를 명시하고 있다고 설명했다. 악성 메일에는 사칭하는 기관의 주소가 포함된 서명도 포함돼 있다.
메일에 첨부된 워드 문서 파일을 열고 화면 상단에 표시되는 '콘텐츠 사용'을 클릭하면 악성코드에 감염된다. 감염된 컴퓨터는 악성 메일을 유포하고, 맬웨어를 추가로 내려받게 될 수 있다. 이를 통해 사용자 자격 증명과 브라우저 기록, 중요 문서 등의 기록이 탈취될 가능성도 있다.
관련기사
- 악성코드 '이모텟', 그룹메일 대상으로 확산2020.01.30
- 프랑크푸르트, 이모텟 감염으로 IT네트워크 셧다운2020.01.30
- "금융정보 겨냥 악성코드 '이모텟' 되살아났다"2020.01.30
- "해외 구매 송장 메일로 위장한 악성코드 주의"2020.01.30
IBM X-포스는 이번 공격에 대해 신종 코로나 환자 출현 지역이 광범위하고, 그만큼 사회적 우려가 크게 나타나고 있어 악성코드 감염이 크게 확산될 수 있다고 분석했다.
블리핑컴퓨터는 이모텟을 유포하는 해커가 크리스마스나 할로윈 파티, 환경 시위 등 악성 메일 유포 당시 이슈를 반영한 내용으로 위장하는 등 맞춤형 공격을 시도해왔다고 설명했다.
