이스트시큐리티 시큐리티대응센터(ESRC)는 10일 세계보건기구(WHO)를 사칭해 코로나19 최신 정보를 안내해주는 것처럼 위장한 악성메일이 유포되고 있다고 밝혔다.
메일 본문에는 SNS 아이콘이 포함돼 있다. 해당 아이콘들을 클릭하면 실제 WHO 공식 SNS 계정으로 연결된다.
메일에는 ATT00001.zip 파일이 첨부돼 있으며, 이 파일 안에는 'MyHealth'라는 이름의 실행파일이 포함돼 있다.
관련기사
- '코로나19 대응 사항' 사칭 악성 메일 발견2020.03.10
- '코로나19 실시간 현황' 위장 악성 프로그램 발견2020.03.10
- '알약 EDR' 사용자 1만명 돌파2020.03.10
- 대북·외교 교육원 경력자 '주민등록등본' 사칭 악성파일 발견2020.03.10
사용자가 'MyHealth' 파일을 실행하면 공격자가 준비한 구글 드라이브에 접속해 인코딩된 파일을 내려받아 디코딩하고, 정상 프로세스에 침투해 악성 행위가 수행된다.
악성 행위 과정에선 정보탈취 악성코드 '폼북(FormBook)'이 발견됐다. 악성코드는 사용자 PC에서 스크린샷 화면, 호스트 파일 정보, 인터넷 익스플로러·파이어폭스·오페라 등 브라우저 정보와 아웃룩, 선더버드 등 이메일 플랫폼 정보를 수집해 명령제어(C&C) 서버로 전송한다.