posted by 알짜 정보 岳岩 2019.09.09 07:28

국내 대표 포털 사이트의 로그인 화면으로 유도해 개인정보 탈취하거나
특정 기관을 사칭해 견적서를 요청하고 데이터를 탈취하거나


[보안뉴스 권 준 기자] 올해 하반기 가장 기승을 부리고 있는 견적서 요청 관련 악성메일이 개인정보 탈취를 위한 피싱 공격에서부터 특정 데이터를 노린 스피어피싱까지 공격유형이 무한대로 확장되고 있는 것으로 보인다.

▲개인정보 탈취를 목적으로 유포된 견적서 사칭 피싱 메일[이미지=ESRC]


최근 견적서 검토를 요청하는 메일로 유포된 악성 메일의 경우 국내 대표 포털사이트의 로그인 화면으로 꾸민 피싱 사이트로 이동하는 것으로 드러났다.

보안전문 기업 이스트시큐리티의 시큐리티대응센터(ESRC)에 따르면 해당 메일에 첨부된 압축(zip) 파일을 다운로드해 열어보면, 인터넷 웹 페이지 파일 유형인 htm 파일이 들어 있는 것을 확인할 수 있다. 메일 수신자가 해당 파일을 견적서와 관련된 파일로 착각해 클릭하면 네이버의 로그인 화면으로 위장한 피싱 사이트로 유도해 개인정보 탈취를 시도한다는 것이다.

만약 해당 로그인 페이지로 꾸민 피싱 사이트에 사용자의 로그인 정보를 입력할 경우, 피싱 사이트 제작자에게 사용자의 계정 및 비밀번호가 전달되는 것으로 분석됐다. 이렇듯 최근 피싱 메일을 통해 사용자 개인정보를 탈취하는 피싱 페이지 유포 사례가 많이 발견되고 있다는 게 ESRC 측의 설명이다.

▲국내 유명 포털의 로그인 화면으로 위장한 피싱 사이트[이미지=ESRC]


또한, 특정 기관을 사칭해 견적서를 요청하고 데이터를 탈취하는 스피어피싱 메일도 빈번하게 유포되고 있는 ‘견적서’ 악성 메일 유형 중 하나다.

일례로, 최근 유포된 악성 메일의 경우 기업 구매팀을 사칭, 견적을 위한 도면을 확인해 달라며, 견적에 필요한 파일인 것처럼 메일에 악성 대용량 파일을 첨부하는 방식으로 공격했다.

▲데이터 탈취를 위한 목적으로 견적 요청을 사칭한 악성 메일 화면[이미지=ESRC]


이는 본지에서도 자주 기사화했던 공격 유형으로, 실제 공격에 사용된 이메일에는 국내 특정 기업 이미지와 직원의 서명을 추가해 담당자를 현혹하고 있다는 게 ESRC 측의 설명이다. 비슷한 내용과 동일한 악성 대용량 파일을 첨부한 메일이지만 엉뚱한 회사의 직원 서명을 사용한 악성 메일도 발견되는 등 해당 공격유형도 다양하게 파생되고 있는 상황이다.

해당 유형의 악성 메일은 동일한 이미지 파일(.img) 및 ACE 파일(.ace)이 대용량 파일로 첨부돼 있으며, 해당 첨부파일을 압축 해제하면 악성 실행 파일이 나타나게 된다. 악성 파일을 메일의 내용처럼 견적을 위한 도면 파일 또는 견적에 필요한 파일로 착각해 실행하면, LokiBot이 실행되며, 사용자 PC의 정보를 탈취하는 것으로 분석됐다. 탈취하는 정보는 브라우저를 통한 계정 정보, 시스템 정보, 이메일 서버 계정 등이다.

이렇듯 최근 ‘견적서’를 사칭한 악성 메일이 다양한 유형과 공격형태로 유포되고 있어 본인이 모르는 사용자로부터 온 메일이나 의심스러운 메일의 경우, 절대 첨부된 파일이나 링크를 클릭하지 말아야 한다. 보안뉴스

댓글을 달아 주세요