'전자세금계산서' 사칭 이메일 주의하세요!

'전자세금계산서' 사칭 이메일 주의하세요! AhnLab ASEC 분석팀 l 2020-08-19     안랩은 자사 ASEC 블로그를 통해 국세청 전자세금계산서 발급 이메일을 사칭한 정보유출형 악성코드가 유포 중이라고 밝혔다. 이에 대해, 의심스러운 이메일 및 첨부파일은 실행 전 백신 프로그램을 이용하여 사전에 검사할 것을 당부했다.     해당 공격에 사용되는 이메일은 국세청에서 사업자에게 전송한 정상적인 세금계산서 메일로 위장하는 것이 특징이다. 공격 이메일은 ‘NTS_eTaxInvoice.html’ 스크립트 파일을 첨부하고 있으며, HTML 파일 실행 시 특정 웹사이트로 연결되어 2차 악성파일(*.img)을 다운로드 받도록 한다.   [그림 1] 전자세금계산서 사칭 이메일   HTML 스크립트 파일을 실행 시 다운로드 되는 ‘NTS_eTaxInvoice.img’ 압축파일은 PDF 문서로 위장한 실행파일(*.exe)을 내포하고 있다. 그리고 해당 실행파일에서 정보유출형 악성코드가 확인되었다.   [그림 2] IMG 압축파일 내 악성 실행파일   최근 국내에서는 위와 같은 국세청 사칭 공격 외에도, 견적서나 이력서를 가장한 이메일 공격이 기승을 부리고 있다. 사용자들은 출처가 불확실한 이메일이나 첨부파일은 실행 전, 백신 프로그램을 활용해 검사를 선행해야 한다.   현재 안랩 V3 제품에서는 해당 악성코드를 아래와 같이 진단 중이다.   [V3 진단] - Downloader/Win32.Agent.C4180520 - Trojan/Win32.Infostealer.C4182634   [관련 IOC 정보] - https://cdn.discordapp.com/attachments/737847165568942094/743329581519601754/NTS_eTaxInvoice.img - https://1drv.ws/u/!AmUcc0yrXDZQa9fBEFywhT3Wu1Y - MD5: 9c23c0cc13e4df0fc7d17e54cdfb286b (exe) - MD5: 5a1dbe631249d5b4a22f94777ad5b104 (exe)   이번 전자세금계산서 사칭 악성코드에 대한 자세한 분석 정보는 ASEC 블로그에서 확인할 수 있다.   ▶ASEC 블로그 바로 가기