2019-10-23 18:31 (수)
일본어 청구서로 사칭한 악성 해킹 메일 국내 유입돼…주의
상태바
일본어 청구서로 사칭한 악성 해킹 메일 국내 유입돼…주의
  • 길민권 기자
  • 승인 2017.08.02 22:02
이 기사를 공유합니다

▲ 이스트시큐리티 알약 블로그 이미지
▲ 이스트시큐리티 알약 블로그 이미지
지난 7월 25일부터 일본에서 다량 전파된 악성 해킹 메일이 국내에도 유입된 정황이 일부 포착되어 각별한 주의가 필요한 상황이다.

해당 해킹 메일은 일본어(한자)로 '청구서(請求書)'라는 제목을 달고 있으며, 발신자 이메일은 일본에서 주로 사용하는 'so-net.ne.jp' 도메인이지만 아이디는 다양하게 설정되어 전파되고 있다.

일본 인터넷 사업자, 보안기업, 금융기관, 수사기관 등과 협력하는 '일본 사이버범죄 컨트롤 센터(JC3/Japan Cybercrime Control Center)'에서도 지난 25일 주의보를 내린 상태다.

이스트시큐리티 시큐리티대응센터(ESRC) 측은 “한국과 일본에서 이미 발견된 상태”라며 “청구서 파일로 위장한 일본식 해킹 메일은 한국에도 유입이 확인된 상황으로 메일에는 '請求書⑨.xls', '56948.xls' MS오피스 엑셀 문서파일이 첨부되어 있다. 각각의 엑셀 파일은 다른 내용을 담고 있다. 엑셀 파일을 실행할 경우 최신 버전의 MS오피스 기본설정으로 매크로 실행을 우선 차단하고 '보안 경고' 문구를 보여준다. 그래서 공격자는 문서파일 본문에 일본어 표현을 넣고 매크로 실행을 유도하기 위해 [콘텐츠 사용] 버튼을 클릭하도록 유도하고 있다”고 설명했다.

실제 엑셀 파일 문서에 포함된 매크로 코드를 분석해 보면 특정 웹 사이트로 접속을 시도해, 또 다른 악성파일을 다운로드하고 실행하는 명령이 난독화되어 포함된 것을 확인할 수 있다. 현재는 해당 웹 사이트에서 악성 EXE 파일이 제거된 상태다.

매크로가 활성화되어 다운로드되고 실행되는 'csf.exe', 'nas.exe' 파일은 이름만 다르고 코드가 동일한 악성코드다. 이 악성파일은 2017년 7월 25일 제작되었으며 파일속성은 마치 WiseCleaner.com 사이트에서 배포한 것처럼 위장하고 있다.

이스트시큐리티 시큐리티대응센터(ESRC)는 “이런 유사 악성파일에 감염되면 민감한 개인 정보 유출 등 예기치 못한 피해로 이어질 수 있다. 일본어가 포함된 이메일에 첨부파일이 포함된 경우 각별한 주의가 필요하다”고 당부했다.

★정보보안 대표 미디어 데일리시큐!★