안랩, 사용자가 직접 악성코드를 실행하도록 유도하는 피싱메일 주의 당부

안랩이 최근 발견한 사례에서 공격자는 먼저, 비용처리나 운영 지침 검토 등의 내용으로 위장한 피싱 메일(보충자료 1 참조)과 함께 첨부파일(.html)을 유포했다. 사용자가 내용 확인을 위해 첨부파일을 열면 MS Word 문서로 정교하게 위장한 가짜 페이지와 안내 메시지(보충자료 2 참조)가 나타난다.

안내 메시지에는 ’문서 프로그램의 온라인 버전이 설치되지 않았다’며, ‘문서를 보기 위해서는 ‘How to Fix’ 버튼을 클릭하라’는 내용이 적어 사용자의 클릭을 유도했다. 사용자가 버튼을 클릭하면 문서 프로그램 설치 안내로 위장한 메시지(보충자료 2 참조)가 나타나며, 동시에 사용자 PC의 클립보드에는 악성코드가 몰래 저장된다. 메시지의 안내문은 실제로는 사용자가 ‘명령어 실행창’ 혹은 윈도우 파워쉘 프로그램(*)을 실행하도록 유도한다.

*윈도우 파워셸(Windows PowerShell): 마이크로소프트가 개발한 명령어 인터프리터.

사용자가 문서를 보기위해 무심코 안내에 따르면 붙여넣기 기능(명령어 실행창에서는 ‘CTRL+V’, 윈도우 파워셸 프로그램에서는 마우스 우클릭)으로 직접 악성코드를 실행하게 된다. 악성코드에 감염되면 공격자는 사용자 PC에서 시스템 정보 수집, 브라우저 정보 수집, 키로깅, 원격 명령어 실행 ,암호화폐 채굴 등 다양한 악성행위를 수행할 수 있다.

현재 안랩 V3는 해당 악성코드를 진단 및 차단하고 있다.

피싱 메일로 인한 피해를 예방하기 위해서는 이메일 발신자 꼼꼼히 확인, 수상한 메일 내 첨부파일 및 URL 실행 금지, V3 등 백신 프로그램 최신버전 유지 및 피싱 사이트 차단 기능 활성화, 사용중인 프로그램(OS/인터넷 브라우저/오피스 SW 등)의 최신버전 유지 및 보안 패치 적용 등 기본 보안수칙을 준수해야 한다.