안랩은 최근 공정거래위원회를 사칭한 메일로 PC 정보 유출 악성코드 ‘비다르(Vidar)' 유포 사례를 발견했다고 13일 밝혔다.
공격자는 먼저 ‘김OO 사무관’이라는 가짜 발신자 이름으로 ‘[공정거래위원회]전자상거래 위반행위 조사통지서’라는 제목의 메일을 무작위로 발송했다. 본문에는 “귀하에 대해 ‘부당 전자상거래 신고’가 제기되어 조사를 실시할 예정”이라며, “첨부한 서류에 서명을 기재할 것”을 요구해 첨부파일 실행을 유도했다.
사용자가 무심코 첨부된 ‘전산 및 비전산자료 보존 요청서.zip’이라는 압축파일을 해제하면 ‘전산 및 비전산자료 보존 요청서_20200506(꼭 자료 보존해주세요)’와 ‘전산 및 비전산자료 보존 요청서_20200506(꼭 자료 보존해주세요)1’이라는 이름의 파일이 나타난다.
두 파일은 각각 PDF 파일과 한글 문서파일의 아이콘을 사용해 정상 문서파일로 위장하고 있지만 사실은 모두 악성코드를 포함한 실행파일(.exe)이다. 한 개라도 실행하면 암호화폐 지갑 정보, 메신저 계정정보, 인터넷 브라우저 정보 등을 유출하는 비다르에 감염된다. 현재 안랩 V3는 해당 악성코드를 진단하고 있다.
관련기사
- "무심코 이력서 열면 정보 탈취·랜섬웨어 감염"2020.05.13
- MS SQL서버 탈취해 암호화폐 채굴한 봇넷 발견2020.05.13
- 쿠키 훔쳐 페북 계정 탈취하는 악성코드 발견2020.05.13
- 이스트소프트, 코로나19 악성코드 유포에 보안SW 무상지원2020.05.13
안랩은 ▲이메일 발신자 확인 및 출처가 불분명한 메일의 첨부파일과 URL 실행 금지 ▲‘파일 확장명’ 숨기기 설정 해제 ▲운영체제와 인터넷 브라우저, 응용프로그램, 오피스 등 프로그램의 최신 보안 패치 적용 ▲최신 버전 백신 사용 등 기본 보안수칙 준수를 당부했다.
한명욱 안랩 분석팀 주임 연구원은 “공정위를 사칭한 보안위협은 발신자의 이름을 바꾸고, 바뀐 기관 로고도 업데이트하는 등 점점 교묘해지고 있다”며 “해당 내용의 메일을 받았다면 발신자 메일주소를 자세히 확인하고 첨부파일은 실행하지 않는 것이 좋다”고 말했다.