해커, 회계 소프트웨어 개발사 ‘Xero’로 위장해 전 세계로 피싱 이메일 발송
드리덱스 트로이목마 변종, 웹브라우저 모니터링하고 금융 및 개인정보 탈취

[보안뉴스 김경애 기자] 트러스트웨이브(Trustwave) 자바스크립트 파일을 이용해 악성 실행파일을 다운로드한 후, 사용자의 정보 탈취하는 피싱 이메일이 발견됐다.


한국인터넷진흥원은 최신 보안동향 공지를 통해 “해커가 중소기업을 위한 클라우드 기반 회계 소프트웨어 개발사인 ‘Xero’ 기업으로 위장해 전세계적으로 피싱 이메일을 발송했다”고 밝혔다.

발신자는 xero.com이 아닌 xeronet.org이며, 이 도메인은 공격이 수행되는 날 중국에서 등록된 것으로 확인됐다.

이메일에 포함된 링크는 최종적으로 악성 자바스크립트(Xero Invoice.js)를 실행해 Y739Ayh.exe를 다운로드하는데, 드리덱스(Dridex) 트로이목마의 변종으로 확인됐다.

드리덱스는 Chrome, Internet Explorer 같은 웹브라우저를 모니터링하고 금융 및 개인정보를 탈취하는 악성코드다.

해당 악성코드는 시스템 정보 수집, 사용자 정보 수집, 인터넷 설정 변경, 레지스트리 키 검색을 통한 설치된 소프트웨어 목록을 수집하는 기능이 있다. 또한, 내장 윈도우 명령어(whoami.exe/all 등) 사용, API 간접 호출을 통한 탐지 우회, 정상 프로세스에 악성코드 삽입 등의 특징을 지닌 매우 정교한 악성코드다.

따라서 이메일 사용자는 정상적으로 보이는 메일도 발신자가 의심스러울 경우 메일에 포함된 링크 클릭과 파일 다운로드에 각별히 주의해야 한다.

또한, Xero 외에도 SharePoint, Quickbook, Dropbox 등 유명 브랜드를 사칭하는 경우가 발견되고 있는 만큼 이메일 확인에 만전을 기해야 한다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>