Home > 전체기사
재유행 코로나19 보호장비 업체 사칭해 ‘이모텟’ 악성코드 재유포
  |  입력 : 2020-08-31 00:11
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
올해 2월 이후 잠잠하다가 지난 7월 이어 또 다시 피싱 메일로 유포
국내 코로나19 확진자 증가로 보호장비에 대해 늘어난 관심 악용한 듯
안랩 ASEC 분석팀, 의심스러운 파일에 포함된 매크로 실행 지양 당부


[보안뉴스 권 준 기자] 우리나라에 코로나19 재확산이 우려되는 가운데 사이버 상에서 우리를 오랜 기간 괴롭혀 왔던 이모텟(Emotet) 악성코드가 지난 7월에 이어 또 다시 유포되고 있는 것으로 드러났다.

▲이모텟 악성코드가 첨부된 피싱 메일 화면[자료=안랩 ASEC 분석팀]


보안전문 업체 안랩의 ASEC 분석팀은 지난 7월 이모텟 악성코드가 국내에 유포되고 있다는 사실을 공유한 데 이어 최근에 발견된 피싱 메일에는 코로나19 보호장비 업체를 사칭한 내용에 이모텟 악성코드를 첨부하고 있어 사용자들의 각별한 주의가 요구된다고 밝혔다.

대표적인 뱅킹 악성코드인 이모텟은 지난 2월을 끝으로 유포를 중단했다가 5개월이 지난 7월에 이어 최근인 8월 26일에 또 다시 유포를 시작한 것이다.

이모텟 악성코드 유포 방식은 이전과 동일하게 피싱 메일을 통해 유포되고 있는 것으로 분석됐다. 유포되는 메일의 유형은 3가지가 존재하는데, 다운로드 링크가 첨부된 형태와 PDF 파일이 첨부된 형태, 악성 문서 파일을 첨부한 형태로 나뉜다. 첨부된 링크는 접속시 악성 문서 파일을 다운로드하게 된다는 게 ASEC 분석팀의 설명이다.

피싱 메일의 내용을 살펴보면 코로나19 관련한 체온계, 마스크 등 보호장비를 취급하는 업체로 소개하고 있으며, 이러한 보호장비에 대한 관심이 있을 경우 첨부한 문서를 열람하도록 유도한다. 공격자는 최근 국내 코로나19 확진자 증가로 보호장비에 대한 관심이 늘어난 것을 악용하는 것으로 추정된다.

▲악성 매크로를 포함한 워드 파일[자료=안랩 ASEC 분석팀]


메일에 첨부된 파일은 악성 매크로를 포함하고 있는 워드 파일로, 매크로 사용을 유도하고 있는데, 매크로 실행시 최종적으로 이모텟 악성코드를 다운받게 되는 것으로 분석됐다.

안랩 ASEC 분석팀은 “이모텟 악성코드는 명령제어 서버에 접속해 공격자로부터 명령을 받아 악성 행위를 수행하며, Trickboot, Qakbot 등과 같은 뱅킹형 악성코드를 추가로 다운로드 받을 수 있다”며, “이모텟은 여전히 피싱 메일과 악성 매크로가 포함된 워드 파일을 통해 유포되고 있으므로 사용자는 메일의 발신인을 확인하고, 의심스러운 파일에 포함된 매크로 실행을 지양해야 한다”고 당부했다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상