“송장파일·급여명세서 첨부 메일 조심하세요”...위장메일 극성

위장 메일 전송하고 악성파일 다운로드 유도
안랩 메일 발신자 확인, 첨부파일 실행 자제 당부

  • 기사입력 2019.10.28 23:36
  • 기자명 이의정 기자
최근 유포된 '급여명세서'를 가장한 악성 스팸 메일 (사진출처=안랩)
최근 유포된 '급여명세서'를 가장한 악성 스팸 메일 (사진출처=안랩)

최근 직장내 PC 사용자에게 위장메일을 전송하고 악성파일 다운로드를 유도하는 사례가 급증하고 있다.

안랩(대표 권치중)은 28일 송장 파일과 급여명세서로 위장한 악성파일을 첨부한 메일이 무차별 발송 중이라며 직장내 PC사용자에게 주의를 당부했다.

이번 공격은 악성 엑셀파일(확장자 .xls)을 직접 포함하거나 메일에 공유 다운로드 링크가 포함된 것이 특징이다. 공격자는 특정 회계법인을 사칭해 ‘00 회계법인이 송장파일 공유를 위해 회원님을 초대했다’는 메시지와 함께 실제 드롭박스 로고와 동일한 이미지를 포함해서 사용자는 이것이 가짜인지 알아채기 어렵다.

사용자가 다운로드 링크를 누르면 가짜 송장 엑셀파일이 다운로드 되고 '콘텐츠 사용을 누르라'는 메시지가 뜬다. ‘콘텐츠 사용’ 버튼을 클릭해 해당 파일을 활성화하면 악성매크로가 작동해 PC를 감염시킨다. 급여명세서로 위장한 파일은 특정인의 이름을 송신자로 설정, ‘한 달 동안 수고 많으셨습니다’, ‘경조금 처리 완료’ 등의 문구를 담고 있다.

두 사례 모두 PC 감염 이후 악성 행위 수행 과정은 동일하다. 악성코드는 사용자 몰래 C&C서버로 접속해 컴퓨터 이름과 사용자 이름, 운영체제(OS) 등의 정보를 공격자에게 전송한다. 추가 악성코드도 설치할 수 있어 사용자의 각별한 주의가 필요하다.

이재진 안랩 ASEC 분석팀 연구원은 “공격자는 사용자의 의심을 피하기 위해 메일 내용과 악성파일 유포방식을 지속적으로 변경한다”며 “평소 출처가 불분명한 메일의 발신자를 꼭 확인하고 첨부파일 실행을 자제하는 등 기본 보안 수칙을 지키는 것이 중요하다”고 당부했다.

박흥순 기자 soonn@mt.co.kr

이 기사를 공유합니다
모바일버전