악성 PDF 파일 첨부된 ‘결제 송장’ 위장 이메일 유포

2020-02-23 18:00
  • 카카오톡
  • 네이버 블로그
  • url
국내 특정 해운회사 이메일주소 사용...국내 기업담당자 타깃으로 유포
악성 PDF 파일 열게 되면 Formbook 악성코드 감염...사용자 PC 정보 탈취


[보안뉴스 권 준 기자] 최근 국내 주요 기업 임직원을 대상으로 ‘결제 송장’으로 위장한 악성 이메일이 대량 유포되고 있는 것으로 드러났다.

보안업체 이스트시큐리티의 시큐리티대응센터(ESRC)에 따르면 지난 19일부터 국내에 유포되고 있는 악성 이메일은 기존에 유포되던 송장으로 위장한 악성 이메일과 크게 다르지 않지만. MS office 문서파일 및 HWP 문서파일이 아닌 PDF 문서를 첨부한 것이 특징이다.


▲악성 PDF 파일이 첨부된 결제 송장 위장 이메일[자료=ESRC]

해당 악성 이메일은 국내 특정 해운회사의 이메일 주소를 사칭하고 있는데, 메일 수신자의 이메일 주소 앞자리를 그대로 사용했으며, 부자연스러운 인사말을 쓰고 있는 것으로 나타났다.

메일에 첨부된 악성 PDF 파일 내에는 악성 매크로가 포함된 Excel 파일이 들어가 있는데, 만약 사용자가 악성 PDF 문서를 실행할 경우 Adobe Reader에서는 아래와 같은 경고창을 띄워 사용자에게 경고하고 있다.


▲Adobe Reader에서 띄우는 경고 창[자료=ESRC]

이 과정에서 사용자가 ‘허용 안 함’을 클릭하면 더 이상의 악성 행위가 이루어지지 않지만, 만약 ‘이 파일 열기’를 선택한 후, 확인을 누르면 PDF 파일 내 포함되어 있던 악성 Excel 파일이 메모리 내에서 자동으로 실행된다는 게 ESRC 측의 설명이다.

만약 사용자가 [매크로 포함]을 클릭한다면, Excel 파일에 포함되어 있던 난독화된 매크로 스크립트가 실행되며, 공격자가 세팅해 둔 명령제어(C&C) 서버에 접속해 %appdata% 경로 하위에 win32 파일명을 가진 악성 파일을 내려 받고 실행하는 과정을 거치게 된다.

이렇게 실행된 파일은 다시 공격자가 사전에 세팅해 둔 구글 드라이브에 접속해 추가 파일을 다운받은 후, 악성 행위를 수행하는 것으로 분석됐다. 최종적으로 실행되는 코드는 Formbook 악성코드로, 사용자 PC에서 스크린샷 화면, host 파일정보, 브라우저 정보(Internet Explorer, Firefox, opera, outlook, thunderbird) 등을 수집해 공격자의 C&C 서버로 전송하게 된다.

공격자는 ‘결제 송장’ 외에 ‘FedEX’를 사칭하거나 ‘Scan’이라는 파일명으로도 악성 PDF 파일을 활용하고 있으며, C&C 서버 주소 차단을 방지하기 위해 구글 드라이브 주소를 통해 악성 페이로드를 내려 받고 있는 것으로 드러났다.

이와 관련 ESRC 측은 “출처가 불분명한 사용자에게서 온 메일인 경우 메일에 포함된 첨부파일 다운로드는 절대적으로 금지해야 하며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 줄 것”을 당부했다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 씨프로

    • 인콘

    • 엔텍디바이스코리아

    • 핀텔

    • 아이비젼

    • 아이디스

    • 씨프로

    • 웹게이트

    • 엔토스정보통신

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 지오멕스소프트

    • 원우이엔지

    • 지인테크

    • 홍석

    • 이화트론

    • 다누시스

    • 테크스피어

    • TVT코리아

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 세연테크

    • 비전정보통신

    • 트루엔

    • 경인씨엔에스

    • 한국씨텍

    • 성현시스템

    • 아이원코리아

    • 프로브디지털

    • 위트콘

    • 다후아테크놀로지코리아

    • 한결피아이에프

    • 스피어AX

    • 동양유니텍

    • 포엠아이텍

    • 넥스트림

    • 펜타시큐리티

    • 에프에스네트워크

    • 신우테크
      팬틸드 / 하우징

    • 옥타코

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 네티마시스템

    • 아이엔아이

    • 미래시그널

    • 엣지디엑스

    • 인빅

    • 유투에스알

    • 제네텍

    • 주식회사 에스카

    • 솔디아

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 새눈

    • 에이앤티글로벌

    • 케비스전자

    • 한국아이티에스

    • 이엘피케이뉴

    • (주)일산정밀

    • 구네보코리아주식회사

    • 레이어스

    • 창성에이스산업

    • 엘림광통신

    • 에이앤티코리아

    • 엔에스티정보통신

    • 와이즈콘

    • 현대틸스
      팬틸트 / 카메라

    • 엔시드

    • 포커스에이아이

    • 넥스텝

    • 인더스비젼

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

시큐리티월드

IP NEWS

회원가입

Passwordless 설정

PC버전

닫기