/사진=안랩
/사진=안랩

최근 직장내 PC 사용자에게 위장메일을 전송하고 악성파일 다운로드를 유도하는 사례가 급증하고 있다.

안랩은 28일 국내 기업 직장인에게 송장 파일과 급여명세서로 위장한 악성파일을 첨부한 메일이 무차별 발송 중이라며 주의를 당부했다.


이번 공격은 악성 엑셀파일(확장자 .xls)을 직접 포함하거나 메일에 공유 다운로드 링크가 포함된 것이 특징이다. 공격자는 특정 회계법인을 사칭해 ‘송장파일 공유를 위해 회원님을 초대했다’는 메시지와 함께 실제 드롭박스 로고와 동일한 이미지를 포함, 혼동을 유발한다.

만약 사용자가 ‘콘텐츠 사용’ 버튼을 클릭해 해당 파일을 활성화하면 악성매크로가 작동해 PC를 감염시킨다. 급여명세서로 위장한 파일은 특정인의 이름을 송신자로 설정, ‘한 달 동안 수고 많으셨습니다’, ‘경조금 처리 완료’ 등의 문구를 담고 있다.


이 사례의 악성행위 수행과정은 동일하다. 악성코드는 사용자 몰래 C&C서버로 접속해 컴퓨터 이름과 사용자 이름, 운영체제(OS) 등의 정보를 공격자에게 전송한다.

이재진 안랩 ASEC 분석팀 연구원은 “공격자는 사용자의 의심을 피하기 위해 메일 내용과 악성파일 유포방식을 지속적으로 변경한다”며 “평소 출처가 불분명한 메일의 발신자를 꼭 확인하고 첨부파일 실행을 자제하는 등 기본 보안 수칙을 지키는 것이 중요하다”고 말했다.