호텔·통신사 사칭 '이모텟' 악성코드 대량 유포

'그룹 메일' 타깃…사용자PC 정보 탈취 등 악성 행위 수행


[아이뉴스24 최은정 기자] 특정 국가기관, 호텔, 통신사 등 국내 기업을 사칭한 '이모텟' 악성코드가 대량으로 유포되고 있어 이용자 주의가 요구된다.

이스트시큐리티는 지난해 4분기 꾸준히 유포되던 이모텟 악성코드가 잠시 휴식기를 가진 후 지난 14일부터 대량 유포되고 있다고 22일 발표했다.

주로 이메일을 통해 유포되는 이모텟 악성코드는 자가복제, 사용자 정보 탈취 및 다운로드 등 다양한 악성 행위를 수행하는 것으로 알려져 있다.

국내 기업을 사칭해 업무공유 메일로 위장한 이모텟 악성메일 [이미지=이스트시큐리티]

이번에 발견된 이모텟 악성코드 역시 기존에 발견됐던 것과 유사하게 메일 수신자가 첨부된 문서 파일을 열어보도록 유도했다. 국내 기관과 기업 정보를 사칭해 업무 공유 및 지원요청, 청구서, 견적서 등 한글로 작성된 이메일을 발송했다.

특히 이번 공격은 기업의 업무 편의를 위해 동일한 메일을 조직 구성원이 함께 수신할 수 있는 '그룹 메일'을 타깃으로 하고 있어 더욱 주의가 필요하다는 게 회사 측 설명이다.

만약 수신자가 워드문서(.doc) 파일을 열어 매크로 기능을 활성화한다면, 악성파일에 포함돼 있던 파워셸 코드가 실행된다. 이후 공격자가 세팅한 명령제어서버(C&C)에 접속되면서 이모텟 악성코드를 내려받게 된다. 사용자 PC에서 실행된 이모텟은 사용자 PC 정보를 탈취하며 추가 악성코드를 다운로드하거나 백도어 역할을 수행한다.

문종현 ESRC 센터장은 "기업에서는 이모텟 감염이 기업 내부정보 유출이나 2차 공격으로 이어질 위험성이 높다"며 "출처가 불분명한 메일에 포함된 첨부파일과 링크에 대한 접근은 최대한 삼가해야 한다"고 조언했다. 이어 "특히 기업 그룹메일 수신자를 집중 모니터링할 필요가 있다"고 덧붙였다.

최은정기자 ejc@inews24.com

관련기사


포토뉴스