KEB하나은행 보고서·보안메일로 위장한 악성 이메일이 유포돼 각별한 주의가 필요하다.
이스트시큐리티 시큐리티대응센터(ESRC)는 20일 KEB하나은행 보안메일을 위장한 이메일이 송부되고 있다며 사용자 주의를 당부했다.
해당 메일은 html 첨부파일을 포함하고 있다. 사용자가 해당 html 파일을 클릭하면 정상적인 이메일 보안메일과 동일하게 생년월일 여섯 자리를 입력하라는 페이지가 뜬다. 패스워드 입력 시 엑셀(xls) 문서를 내려받도록 유도한다.
다운로드된 엑셀파일 안에는 악성 메크로가 포함됐다. 엑셀파일은 '노란색 막대기에서 편집 가능 버튼을 클릭하라' '편집이 활성화되면 위 노란색 막대에서 콘텐츠 사용을 클릭하라'고 주문한다. 사용자가 콘텐츠 사용 버튼을 눌러 매크로를 활성화하면 마이크로소프트(MS) 오피스 컴포넌츠 설치 화면이 뜬다.
하지만 해당 화면은 눈속임이다. 실제 백그라운드에서는 'outgoing.dll' 악성 모듈 드롭과 'glitch' 파라메터로 'EXCEL.exe' 프로세스에 로드를 시도한다.
outgoing.dll 파일을 통해 C&C로 컴퓨터 이름, 사용자 이름, 운용체계(OS) 정보, 현재 실행 중인 프로세스 이름 등 시스템 정보를 전송한다. 다운로드 시 C&C 명령과 데이터에 따라 프로세스에 인젝션으로 실행되거나 임시폴더에 파일 드롭과 실행이 이뤄진다. 내려 받는 파일에 따라 2차 피해가 발생할 가능성이 있다.
이스트시큐리티 알약은 해당 악성코드에 대해 'Trokan.Dropper.X97M' 'Trojan.Agent,282624T' 'Trojan.Downloader.HTML.Agent'로 탐지하고 있다.
이스트시큐리티는 “해당 악성메일이 현재 대량으로 유포되고 있다”며 “사용자의 각별한 주의가 필요하다”고 강조했다.
박종진기자 truth@etnews.com
