2019-12-07 12:40 (토)
수입필증 및 정산서로 위장한 피싱메일 유포중…첨부파일과 링크 클릭 금지
상태바
수입필증 및 정산서로 위장한 피싱메일 유포중…첨부파일과 링크 클릭 금지
  • 길민권 기자
  • 승인 2019.07.02 16:30
이 기사를 공유합니다

실제 이미지와 비슷한 형식 및 도장 날인되어 있어 쉽게 속을 가능성 커…주의

▲ 유포되고 있는 피싱 메일 샘플. 이스트시큐리티 제공.
▲ 유포되고 있는 피싱 메일 샘플. 이스트시큐리티 제공.
국내에 수입필증 및 정산서로 위장한 악성 피싱메일이 유포되고 있다. 기업 사용자들의 각별한 주의가 요구된다.

해당 메일에는 수입신고필증(수입면장) 및 정산서 메일인 것처럼 속이기 위해 관련 이미지를 첨부했으며 사용자의 파일 클릭을 유도하고 있다.

첨부된 이미지는 화질이 낮아 그림만으로 상세 내용은 확인하기 어렵지만 실제 이미지와 비슷한 형식 및 도장이 날인되어 있어 면밀히 살펴보지 않는다면 쉽게 속을 가능성이 높다.

만약 사용자가 해당 첨부파일의 이미지를 수입신고필증(수입면장) 및 정산서로 착각해 클릭한다면 이미지에 걸려있는 링크로 연결되며 악성 파일을 드롭하는 js 파일이 포함된 zip 파일을 다운로드한다. 다운로드된 파일을 확인하기 위해 압축 해제하면 EOC00004.js 파일이 들어있다.

EOC00004.js 파일 내부에는 분석을 방해하기 위한 가비지(Garbage) 코드들이 존재하며, 디코딩 시 내부에 존재하는 특정 데이터를 Base64로 디코딩 해 TEMP 폴더에 "BioLtH.zip" 파일로 생성한 후 사용자에게 보여준다.

생성된 zip 파일에는 악성이 의심되는 행위를 수행하는 scr 파일이 들어다. 이 scr 파일이 실행되면 프로세스에 코드를 인젝션 시키고 자동 실행 레지스트리에 부팅 시마다 특정 파일이 실행된다.

이스트시큐리티 시큐리티대응센터(ESRC) 측은 “모르는 발신자로부터 온 메일의 경우 꼭 내용을 확인해야 한다. 조금이라도 의심 될 경우 절대 첨부 파일을 다운로드하거나 본문에 첨부된 링크 클릭을 하지 않아야 한다”고 강조했다.

★정보보안 대표 미디어 데일리시큐!★