[아이뉴스24 최은정 기자] 신종 코로나바이러스 감염증(코로나19) 확산 우려가 높아지고 있는 틈을 타 관련 이메일로 악성코드가 유포되고 있는 것으로 나타났다.
11일 보안 업계에 따르면 최근 국내외에서 세계보건기구(WHO)를 사칭한 악성메일이 다수 발견됐다. 공신력 있는 기관·기구에서 보낸 것으로 위장, 코로나19로 불안한 사용자들의 클릭을 유도하는 방식으로 공격한 것.
이스트시큐리티는 지난 10일 '코로나바이러스 업데이트(Coronavirus Updates)' 제목의 악성메일을 탐지했다고 자사 웹사이트를 통해 밝혔다.
메일 본문에는 "(코로나19로부터) 당신과 주변 사람들의 건강을 지키는 가장 간단하고 빠른 방법"이 포함된 전자책을 다운로드 받을 수 있다는 등 내용이 담겨있다. 해커는 본문 상단에 실제 WHO 계정과 연결된 사회관계망서비스(SNS) 아이콘을 넣어 사용자가 쉽게 속을 수 있도록 했다.
이스트시큐리티에 따르면 해당 메일에 첨부된 'ATT00001.zip' 압축파일 안에는 악성 실행파일(.exe)이 포함돼 있다. 이 실행파일이 작동하면 공격자가 사전에 준비한 구글 드라이브로 접속해 각종 악성행위를 수행하게 된다.
최종적으로 실행되는 악성코드는 사용자 PC에서 스크린샷 화면, 호스트 파일정보, 브라우저 정보 등을 수집해 해커 명령제어(C2) 서버로 전송한다.
![WHO가 보낸 것처럼 위장한 악성메일 [자료=이스트시큐리티]](https://img-lb.inews24.com/image_gisa/202003/1583910420226_1_160922.jpg)
최근 안랩도 WHO를 사칭한 피싱메일을 발견했다.
만약 사용자가 첨부파일을 실행하면 사용자 계정정보를 탈취하는 '에이전트 악성코드(AgentTesla)'가 동작한다.
이와 더불어 코로나19로 인해 발송이 지연됐다는 내용의 스팸메일도 유포됐다고 밝혔다. 첨부된 압축 파일을 열면 '로키봇(Lokibot)' 악성코드가 작동하며, 사용자 계정정보를 훔친다고 안랩 측은 분석했다.
국내뿐 아니라 해외에서도 WHO 관련 악성메일이 지속 유포되고 있다.
체크포인트는 최근 이탈리아 공공기관을 대상으로 한 악성메일을 발견했다고 발표했다. 이탈리아 전체 조직의 10% 이상이 해당 공격을 당한 것으로 확인됐다는 설명이다.
해당 메일에는 "귀하의 지역에 기록된 코로나19 감염 사례가 많아 WHO는 코로나19에 대한 모든 예방 조치 문서를 준비했다"며 "첨부된 문서를 읽기 바란다"는 내용이 적혀 있었다.
메일에 첨부된 파일은 역시 악의적 행위를 수행하는 멀웨어였다. 사용자가 해당 문서를 열고, '편집하기', '콘텐츠 사용' 등을 클릭할 경우 트릭봇으로 알려진 악성코드가 다운로드된다. 이후 이 악성코드는 사용자 PC 등 기기에서 다양한 악의적 행위를 지속한다.
또 체크포인트에 따르면 지난 1~2월 일본을 대상으로 한 코로나19 관련 이메일 공격이 가장 두드러졌다. 해커는 장애복지 서비스 제공 업체가 보낸 것처럼 속여 첨부파일에 '이모텟' 악성코드를 심어 메일을 보냈다.
체크포인트 관계자는 "출처 불명의 이메일·파일, 특정 작업을 요구하는 경우 특히 조심해야 한다"고 강조했다.
문종현 ESRC 이사는 "코로나19 이슈를 악용한 사회공학적 기법의 스피어 피싱 위협이 꾸준히 지속되고 있다"며 "이메일 첨부파일이나 URL 링크에 접근할 때 각별한 주의를 기울여야 한다"고 조언했다.
최은정 기자 ejc@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기