'업무협조' 메일인 줄 알았는데…기밀정보 고스란히 해커 손으로
이스트시큐리티, 업무협조 요청 메일 위장한 악성코드 유포 공격 발견
정상파일과 악성파일 동시에 전송해 구분 어려워…로그인 기록 등 탈취

업무협조 요청 내용의 악성 메일(사진=이스트시큐리티 제공) *재판매 및 DB 금지
[서울=뉴시스]송혜리 기자 = 업무협조 요청 메일을 위장해 악성코드를 유포하는 공격이 발견돼 각별한 주의가 필요하다. 이를 통해 유포된 악성코드는 화면캡쳐, 키보드 입력 기록 탈취, 로그인 정보 수집 등을 수행해 개인정보는 물론 기업정보를 훔친다.
17일 이스트시큐리티에 따르면 해당 메일은 '업무협조 문의메일' 이라는 제목으로 유포되고 있다. 이는 업무 관련 문의사항에 대한 회신을 요구하며 메일 내 첨부된 '문의사항 내용정리.zip' 파일 확인을 유도한다.
첨부파일은 ZIP 압축포맷 안에 '7z' 압축포맷이 있는 이중 압축파일로 돼있으며, 내부에는 '문의사항 내용정리.js' 라는 자바스크립트 파일이 존재한다.
사용자가 해당 자바스크립트 파일을 실행하게 되면, 공격자가 지정해 둔 특정 링크(URL)로 접속한 후 응답코드가 200(정상)이면 스크립트를 다운로드한다. 이 스크립트는 추가로 악성 파일을 다운로드하고 이를 실행한 후 자신을 삭제해 흔적을 감춘다.
다운로드된 악성 파일은 압축을 풀고 내부의 실행 파일과 DLL 파일들을 사용해 공격을 진행했다. 특히 정상적인 응용프로그램과 악성DLL파일을 같은 폴더 경로에 저장해, 응용프로그램이 실행될 때 악성DLL파일이 함께 동작하도록 만드는 DLL 사이드로딩(Side-Loading) 기법이 사용됐다.
공격자가 배포한 악성코드는 최종적으로 '렘코스(Remcos)'로 확인됐다. 렘코스 악성코드는 원격제어(RAT)악성코드로, 명령제어(C&C) 서버와의 통신 이후 화면캡쳐(스크린샷), 키보드 입력 기록(키로깅), 레지스트리 수정, 브라우저 쿠키정보와 로그인 정보를 수집하며 이외 공격자의 명령에 따라 다양한 악성행위를 수행할 수 있다.
이번 사례에서 공격자는 실제 기업 사용자의 계정을 탈취한 뒤, 해당 계정으로 이메일을 발송해 사용자의 의심을 피하고 이메일 열람률을 높이고자 했다.
따라서 사용자들은 회사계정과 개인 계정을 분리해 사용하고 주기적인 비밀번호 변경 및 2단계 인증 등과 같은 추가적인 보안조치를 통해 계정 도용을 예방해야 한다. 또 낯선 사람에게서 수신된 이메일 열람 시에는 주의가 필요하며, 첨부된 파일이 있을 경우 첨부파일 실행 전 반드시 확장자를 확인해 .exe, .js, .msc, .lnk, .vbs 등과 같은 스크립트나 실행파일 확장자일 경우 열람을 지양하는 것을 권고한다.
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지