연말 쇼핑 시즌 틈타 청구서로 위장한 악성코드 활개

연말 쇼핑 시즌 틈타 청구서로 위장한 악성코드 활개 AhnLab ASEC 대응팀 ㅣ 2018-12-26     크리스마스나 연말 선물 구매 등으로 온라인 쇼핑이 증가하는 요즘, 청구서(Invoice)로 위장한 메일을 통해 금융 정보를 탈취하는 악성코드가 유포되고 있어 사용자의 각별한 주의가 요구된다.     마치 해외 구매 확인(Invoice Confirmation) 메일처럼 위장한 내용과 첨부 파일을 통해 이모텟(Emotet) 악성코드가 유포되고 있다. 이모텟 악성코드는 대표적인 금융 정보 탈취 악성코드로, 지난 2014년 처음 발견된 이후 지금까지 지속적으로 나타나고 있다. 이번에 유포되고 있는 이모텟 악성코드는 사용자가 [그림 1]과 같은 스팸 메일의 본문 내 링크를 클릭하거나 첨부 파일을 다운로드 실행할 때 감염된다.   [그림 1] 청구서로 위장한 이모텟 악성코드 유포 메일   [그림 1]의 링크를 클릭하거나 첨부 파일을 실행하면 [그림 2]와 같이 문서 파일처럼 보이는 화면이 나타난다. 사용자가 문서의 내용을 확인하기 위해 아래 화면에서 ‘콘텐츠 사용’을 클릭하면 악성 매크로가 동작해 악의적인 행위가 시작된다.   [그림 2] 악성 매크로가 포함된 워드 파일   악성 매크로를 통해 실행된 이모텟 악성코드는 일명 아이스드아이디(Iced ID)라고도 불리는 보크봇(Bokbot) 악성코드를 추가로 다운로드한다. 이모텟 악성코드와 보크봇 악성코드는 감염 시스템의 정보를 수집해 공격자의 서버에 전송한다. 특히 감염 PC의 프로세스 목록을 수집해 웹 브라우저가 실행 중일 경우, 정보 탈취용 모듈을 삽입하여 사용자 ID와 패스워드 등 중요 정보를 탈취한다.   또한 이모텟 악성코드는 특정 URL에 접속하여 또 다른 악성코드(파일)을 다운로드하며, PC가 시작될 때 악성코드들이 자동으로 실행되도록 설정한다. 따라서 사용자가 PC를 켤 때마다 이모텟 악성코드가 실행되어 정보 유출 등 악성 행위가 발생한다.   V3 제품군에서는 이모텟 관련 악성코드를 다음과 같은 진단명으로 탐지하고 있다.   <V3 제품군 진단명> - DOC/Downloader - Trojan/Win32.Emotet - Malware/Gen.Generic   이번 사례에서 알 수 있는 것처럼 최근 공격자들은 성공적으로 악성코드를 감염시키기 위해 사용자들의 관심을 끌 수 있는 내용과 기법으로 위장하고 있다. 따라서 이 같은 악성코드의 피해를 방지하기 위해서는 출처가 불분명한 메일을 열어보지 않는 것이 바람직하며, 첨부 파일이나 본문의 URL을 무심코 클릭하지 않도록 주의해야 한다.   또한 첨부 파일을 실행하기 전에는 최신 버전으로 업데이트한 백신(Anti-virus) 프로그램으로 검사하는 습관이 필요하다. 이와 함께 운영체제(OS)와 웹 브라우저(IE, 크롬, 파이어폭스 등), 그 밖의 주요 소프트웨어에 최신 보안 패치를 적용하는 등 필수이자 기본적인 보안 수칙을 지켜야 한다.