[아이뉴스24 김국배기자] 국내 통신 회사의 요금 고지서를 위장한 악성코드가 발견됐다.
안랩은 최근 통신요금 고지서로 가장한 악성파일이 첨부된 이메일이 유포된 것을 확인했다고 1일 밝혔다.
첨부 파일은 문서 파일처럼 문서 아이콘을 사용하고 있지만 실제는 *.exe 확장자를 실행 파일이다.
이 악성 파일을 실행하면 내용 없는 워드(Word) 문서가 나타나는데 파일 자체가 특별한 악성 행위를 하지는 않는다. 사용자에게 실제 문서를 보여줘 해당 파일을 악성 파일로 의심하지 않도록 의도한 것으로 보인다.
그러나 문서 파일을 노출한 다음에는 특정 파일(Temp) 경로에 악성 파일을 추가로 생성하고 실행하는 것으로 파악됐다.
이 과정에서 생성되는 파일(XXX_Ser.exe)에는 가상 환경 여부를 확인하기 위한 가상 환경 우회(Anti-VM) 기능이 포함돼 있다. 악성 파일이 실행된 시스템이 가상 환경이 아닌 것을 확인하면 특정한 경로에 악성 파일을 생성한다.
이후 인터넷 브라우저 접속 페이지, 즐겨찾기, 바로가기 정보, 등록된 계정정보, 국내 유명 메신저 사용자 계정 정보 등을 탈취한다. 특정 주소로 네트워크 연결을 시도하나 분석 당시엔 네트워크 연결로 인한 추가 악성 행위와 데이터 전송은 이뤄지지 않았다.
해당 악성 파일이 국내 통신 회사의 요금 고지서로 위장한 점이나 국내에서 사용하는 메신저 계정 정보를 탈취하는 점 등을 미뤄볼 때 우리나라 국민을 대상으로 제작된 것을 짐작할 수 있다고 안랩 측은 설명했다.
안랩 관계자는 "이러한 악성파일은 주로 이메일에 첨부돼 유포된다"며 "항공사, 택배사, 온라인 쇼핑몰에서 발송한 이메일을 받았을 때는 발신인 메일 주소를 자세히 살펴보고, 발신인이 불분명한 메일에 첨부된 파일은 다운로드하지 않도록 주의해야 한다"고 당부했다.
김국배기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기