사이버 보안 솔루션 제공 업체 코모도스레트리서치랩스(Comodo Threat Research Labs)의 보안 연구진이 새로운 형태의 멀웨어 리발(Lebal)을 발견했다. 이 멀웨어는 정부 기관, 23개의 민간 기업, 5개의 대학 등을 대상으로 공격을 실시했다. 코모도는 피해를 입은 단체의 이름이나 위치를 밝히지 않았다.

보안 연구원은 리발이 다양한 계층에 악성 페이로드를 숨겼다고 주장했다. 일반적인 악성 프로그램은 전자 메일 첨부 파일 형태로 배포되지만 리발 개발자들은 기술 보안을 우회하기 위해 복잡한 체인을 만들었으며 일반적인 감시를 속일 수 있다.

코모도의 분석가들은 자사 블로그를 통해 피싱 이메일이 페덱스의 메시지를 사칭했다고 설명했다. 즉, 무료 배달 한도를 초과해 사용자에게 택배 서비스가 소포를 전달할 수 없다는 이메일을 보낸 것이다. 그리고 이들은 받는 사람이 직접 가까운 페덱스 대리점으로 소포를 수령하러 와야 한다며 이메일 내에 다운로드 링크를 첨부했다. 링크에 대해서는 소포 수령에 필요한 첨부 파일이라고 설명했다.

멀웨어 링크 자체는 구글 드라이브로 위장됐지만 만약 사용자가 링크를 클릭하면 해커의 웹사이트로 연결돼 'Lebal copy.exe' 파일이 다운로드된다.

코모도는 "공격자들은 실제로 이 방법으로 많은 사용자를 속였다. 악성 코드가 다운로드되면 이 프로그램이 OS 버전 및 실행 중인 응용 프로그램을 감지해 사용자의 개인 정보, 신용 정보, 쿠키를 도용할 수 있다. 이 공격은 브라질의 IP 주소에서부터 시작됐다"고 전했다.