페덱스 사칭 ‘수입 통관 정보 제출 안내’ 메일 열면 PC계정 탈취된다

2018년부터 꾸준하게 배포된 악성 파일...PC에 저장된 아이디 및 비밀번호 등 탈취

[보안뉴스 원병철 기자] 7월의 시작을 알리는 1일 월요일 오후, ‘페덱스’를 위장한 악성파일 첨부 이메일 공격이 진행되고 있어 사용자의 주의가 요구된다. <보안뉴스>에서 직접 이메일을 조사해 첨부파일을 확인해본 결과 지난해부터 꾸준하게 유포되던 PC계정탈취 악성코드로 밝혀졌다.

▲페덱스를 사칭한 악성코드 첨부 이메일[이미지=보안뉴스]

‘[FedEx] 수입 통관 정보 제출 안내 - AWB # - 775404467391’이란 이름으로 발송된 이 메일은 ‘고객이 요청한 신고서, 영수증서, 계산서’를 보낸다는 내용을 담고 있다. 메일에 첨부된 파일은 1차로 ‘Zip’ 파일로 압축되어 있고, 압축을 해제하면 2차로 ‘RAR’ 파일로 압축되어 있다. 2번이나 압축된 이유는 안티바이러스 프로그램 등 보안프로그램의 검사를 피해가기 위함으로 보인다.

압축을 풀면 ‘AWB # - 775404467391.exe’ 파일이 나온다. 해당 파일을 바이러스 토탈(VirusTotal)에 업로드 해보면, 1일 오후 6시까지 6개의 안티 바이러스 제품이 악성파일로 진단한 것을 알 수 있다. 특히 이스트시큐리티의 알약은 이 파일을 ‘Spyware.Noon.gen’이란 이름으로 진단했는데, 이 파일은 2018년 10월 30일 견적서를 위장한 악성메일에 사용된 악성파일이다.

이스트시큐리티 시큐리티대응센터(ESRC)는 “사용자가 자세한 정보를 열람하기 위해 악성 파일들을 실행할 경우, %TEMP% 경로에 특정 이름의 폴더를 생성하고, 해당 폴더 하위에 생성한 폴더와 동일한 이름을 가진 exe 파일과 vbs 파일을 생성한다”면서, “exe 파일은 자가 복제된 악성 파일이며, vbs 파일은 자동 실행 레지스트리에 자신이 생성한 특정 폴더 이름의 값으로 자기 자신(.vbs) 등록 및 자가 복제된 exe 악성 프로그램을 실행하는 악성 스크립트”라고 설명했다.

ESRC는 최종적으로 악성코드 감염에 의해 시스템 정보 및 웹브라우저, FTP에 저장된 아이디 및 비밀번호 정보 유출과 C&C에서 받아온 데이터에 따른 추가 악성 행위를 할 수 있어 피해가 발생할 수 있다고 설명한 후, 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근을 삼가고, 검증되지 않은 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부 검사를 수행해 달라고 당부했다.
[원병철 기자(boanone@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)