Home > 전체기사
페덱스 사칭 ‘수입 통관 정보 제출 안내’ 메일 열면 PC계정 탈취된다
  |  입력 : 2019-07-01 18:19
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2018년부터 꾸준하게 배포된 악성 파일...PC에 저장된 아이디 및 비밀번호 등 탈취

[보안뉴스 원병철 기자] 7월의 시작을 알리는 1일 월요일 오후, ‘페덱스’를 위장한 악성파일 첨부 이메일 공격이 진행되고 있어 사용자의 주의가 요구된다. <보안뉴스>에서 직접 이메일을 조사해 첨부파일을 확인해본 결과 지난해부터 꾸준하게 유포되던 PC계정탈취 악성코드로 밝혀졌다.

▲페덱스를 사칭한 악성코드 첨부 이메일[이미지=보안뉴스]


‘[FedEx] 수입 통관 정보 제출 안내 - AWB # - 775404467391’이란 이름으로 발송된 이 메일은 ‘고객이 요청한 신고서, 영수증서, 계산서’를 보낸다는 내용을 담고 있다. 메일에 첨부된 파일은 1차로 ‘Zip’ 파일로 압축되어 있고, 압축을 해제하면 2차로 ‘RAR’ 파일로 압축되어 있다. 2번이나 압축된 이유는 안티바이러스 프로그램 등 보안프로그램의 검사를 피해가기 위함으로 보인다.

압축을 풀면 ‘AWB # - 775404467391.exe’ 파일이 나온다. 해당 파일을 바이러스 토탈(VirusTotal)에 업로드 해보면, 1일 오후 6시까지 6개의 안티 바이러스 제품이 악성파일로 진단한 것을 알 수 있다. 특히 이스트시큐리티의 알약은 이 파일을 ‘Spyware.Noon.gen’이란 이름으로 진단했는데, 이 파일은 2018년 10월 30일 견적서를 위장한 악성메일에 사용된 악성파일이다.

이스트시큐리티 시큐리티대응센터(ESRC)는 “사용자가 자세한 정보를 열람하기 위해 악성 파일들을 실행할 경우, %TEMP% 경로에 특정 이름의 폴더를 생성하고, 해당 폴더 하위에 생성한 폴더와 동일한 이름을 가진 exe 파일과 vbs 파일을 생성한다”면서, “exe 파일은 자가 복제된 악성 파일이며, vbs 파일은 자동 실행 레지스트리에 자신이 생성한 특정 폴더 이름의 값으로 자기 자신(.vbs) 등록 및 자가 복제된 exe 악성 프로그램을 실행하는 악성 스크립트”라고 설명했다.

ESRC는 최종적으로 악성코드 감염에 의해 시스템 정보 및 웹브라우저, FTP에 저장된 아이디 및 비밀번호 정보 유출과 C&C에서 받아온 데이터에 따른 추가 악성 행위를 할 수 있어 피해가 발생할 수 있다고 설명한 후, 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근을 삼가고, 검증되지 않은 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부 검사를 수행해 달라고 당부했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)