본문 바로가기

벌새::Security

통신사 요금 명세서로 위장한 악성코드 메일 주의 (2012.7.6)

최근 국내 불특정 다수를 표적으로 악성 파일을 첨부한 허위 통신사 요금 명세서를 발송하여 시스템을 감염시키는 유포 행위에 대하여 안랩(AhnLab) 보안 업체에서 주의보를 내렸습니다.

 

  <보안 뉴스> 안랩, 통신사 요금명세서 사칭 악성코드 주의보 (2012.7.5)

 

  BC카드 2010년 06월 청구서로 위장한 국내 DDoS 공격 주의 (2010.6.23)

 

위와 같은 유사한 유포 행위에 대한 사례를 확인해보면 2010년경에도 BC카드 이메일 청구서로 위장하여 사용자를 특정 악성 사이트로 접속을 유도하여 악성 ActiveX 설치를 통한 유포 행위가 있었습니다. 

이에 따라 SK텔레콤에서는 고객들에게 SK텔레콤을 사칭한 미납 요금 안내 문자와 이메일(제목 : SK Telecom 2012년 5월 e-메일 요금청구서 내역)을 발송하여 첨부된 파일(SKT Email_201205_html.exe)을 다운로드하여 실행시 악성코드에 감염되는 사례가 확인되었음을 안내하고 있습니다. 

일반적으로 정상적인 SK텔레콤 요금 청구서 내역을 확인해보면 첨부 파일로 "SKT 이메일_201205.html" 형태로 구성되어 있는 반면, 악성 이메일에서는 html 형식이 아닌 exe 실행 파일로 등록되어 있습니다.

 

안랩(AhnLab) 정보에 따르면 감염된 시스템에서는 시스템 시작시 자동으로 실행되어 중국(China)에 위치한 C&C 서버와 연결하여 추가적인 악의적인 동작을 할 것이라고 분석하고 있으며, AhnLab V3 보안 제품에서는 Trojan/Win32.Jorik 진단명으로 진단되고 있습니다. 

Windows 기본값에서는 숨김 폴더와 파일에 대해 표시하지 않도록 설정되어 있으며, 이런 문제로 인하여 유포자는 실제로는 exe 파일 확장자를 가진 파일을 html 파일로 쉽게 위장할 수 있으므로 폴더 옵션에서 "숨김 파일 및 폴더 → 숨김 파일, 폴더 및 드라이브 표시"에 체크하시고 PC를 이용하시기 바랍니다.

 

또한 국내 이메일 청구서에서는 절대로 exe 실행 파일을 첨부 파일로 동봉한 이메일을 발송하지 않는다는 점을 명심하시기 바라며, 요금을 확인하기 위해 추가적으로 설치되는 ActiveX로 위장할 수 있으므로 ActiveX 설치시에는 자신이 접속한 웹 사이트 주소(URL)를 꼭 확인하는 습관을 가지시기 바랍니다.