‘PO 19-1859’ 이름의 견적서 요청 메일 또 유포...PDF로 위장했지만 파일 아이콘은 ‘윈엠프’

[보안뉴스 원병철 기자] 견적서를 사칭한 악성파일 첨부 이메일이 13일 오전 또 발견돼 사용자들의 주의가 요구된다. 실제 존재하는 회사의 이름을 사칭했기 때문에 이번 공격 역시 사전에 노출된 기업의 정보를 바탕으로 추가 공격이 이뤄진 것으로 보인다.


▲견적서 요청을 사칭한 악성메일[사진=보안뉴스]

‘PO 19-1859’라는 제목의 악성메일은 2개의 대용량 파일을 첨부하고 있다. 같은 이름의 ‘.rar’ 파일과 ‘.zip’ 파일이며 마치 PDF 파일인 것처럼 파일명이 되어 있다. 하지만 실제로 다운받아 압축을 풀면 ‘.exe’ 실행파일이 나오며, 심지어 파일 아이콘은 음악 플레이어로 유명한 ‘윈엠프’의 아이콘을 사용하고 있다. 그리고 첨부된 악성파일은 정보탈취 목적의 트로이 목마 종류로 추정된다.


▲윈엠프 아이콘을 사용한 악성파일. 확장자가 .exe다[사진=이스트시큐리티]
이와 관련 이스트시큐리티의 문종현 이사는 “보통 악성파일을 만드는 자동화 프로그램에서 아이콘을 임의로 설정해 유포되는 경우가 있다”면서, “이 때문에 조금만 주의를 기울이면 이상하다는 걸 알 수 있을 것”이라고 조언했다. “악성메일에 첨부된 파일이 exe나 SCR일 경우 십중팔구 악성코드이기 때문에 이용자들이 조금만 주의를 기울이시면 예방이 가능합니다.”

한편, 악성메일 발송자로 기재된 회사는 실제 존재하는 회사로, 함께 적힌 연락처 역시 실제 기업의 연락처인 것으로 드러났다. 다만 보낸 사람 이름은 다른 것으로 확인됐다. 이는 악성메일을 받은 사용자가 인터넷이나 전화로 확인할 경우에 대비하기 위한 것으로, 해당 기업에 확인해본 결과, 이번 사건과 관련한 문의전화를 100통 이상 받았던 것으로 확인돼 실제 피해자도 상당수 발생했을 것으로 추정된다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>