기존 이메일을 회신 또는 전달한 이메일인 것처럼 속여 악성 PDF파일을 첨부해 악성코드를 유포하는 사이버 공격 정황이 포착됐다.
16일 안랩 시큐리티대응센터(ASEC)에 따르면 뱅킹형 악성코드 '칵봇(Qakbot)'이 최근 '이메일 하이재킹' 방식으로 유포되고 있었다. 칵봇은 은행 자격 증명, 윈도우 도메인 자격 증명을 훔치고, 랜섬웨어를 설치하는 공격자들에게 원격 접속을 제공하는 윈도우 악성 코드다.
이번에 탐지된 수법은 정상 메일을 가로채 악성 파일을 첨부한 뒤 사용자에게 회신하는 형태다. 수신 대상으로는 기존 메일의 수신·참조인 메일주소를 활용했다.
메일에 첨부파일 열람을 유도하는 내용이 담겨 있다. 이를 통해 정상 메일로 오인한 수신자가 의심 없이 파일을 여는 것을 유도한다.
안랩에 따르면 첨부된 PDF 파일명은 UT, RA, NM과 같은 랜덤 문자의 형태다. 해당 PDF 파일을 실행하면 마이크로소프트 애저의 로고와 함께 악성코드 주소로 연결된다.
안랩은 "다수 악성 메일들이 이번 사례와 유사한 형태로 유포되고 있다"며 "출처가 불분명한 메일은 가급적 열람해서는 안 된다"고 했다.
){kind=small}
){kind=small}
){kind=small}
){kind=small}