알림 메일, 공지 메일 등으로 위장한 메일 대량으로 퍼지고 있어
독특하게 첨부파일은 ISO 포맷...안에 로키 봇 멀웨어 들어있어

[보안뉴스 문가용 기자] 로키 봇(Loki Bot)의 운영자들이 스팸 메시지들을 가지고 기업의 이메일 함을 노리기 시작했다고 보안 업체 카스퍼스키 랩(Kaspersky Lab)이 발표했다.


“이번에 발견된 스팸 이메일은 사용자들을 현혹해 악성 첨부파일을 열게 하려는 갖가지 수단들을 가지고 있습니다.” 첨부파일을 여는 순간 기기에는 로키 봇 스틸러(Loki Bot stealer)가 설치되는데, “이메일은 다른 회사에서 온 것과 같은 알림 혹은 공지 메일이나 주문서, 세일 안내 메일 등처럼 꾸며져 있다”고 한다.

이번 로키 봇 공격자들이 스팸 메일을 주로 보내는 곳은 대중들에게 정상적으로 공개된 메일 주소들이다. “기업 홍보 페이지나 각종 보고서에 실려 있는 담당자들의 이메일 주소가 주요 표적입니다.” 카스퍼스키 측의 설명이다.

“스팸 메일에는 ISO 파일이 첨부되어 있습니다. ISO 확장자를 가진 파일은 보통 광학 디스크의 복사본으로 인식되는데요, 일반 사용자들은 이를 가상 DVD 플레이어 등에 탑재시켜 콘텐츠를 열람합니다. 최근의 OS들이라면 ISO 파일을 직접 여는 것도 가능하지만, ISO와 같은 파일을 여는 전문 프로그램들도 인기리에 사용되고 있습니다.”

ISO 파일들은 DVD와 같은 광학 디스크의 전체 이미지를 담을 수 있다. 공격자들은 이 점을 활용해 각종 악성 애플리케이션들을 효과적으로 배포하는 수법을 사용하기 시작했다고 카스퍼스키는 설명한다. “그러나 아직은 흔치 않은 방법이라 또 다른 사례를 찾기가 쉽지 않습니다.”

현재 이 캠페인은 카스퍼스키의 말대로 로키 봇 멀웨어가 ISO 파일에 들어있는 형태로 퍼지고 있다. “로키 봇 멀웨어는 기본적으로 정보 탈취형 멀웨어로, 사용자 이름과 비밀번호를 침해한 장비로부터 훔쳐냅니다. 사용자의 데이터 역시 훔칩니다.”

카스퍼스키의 분석에 따르면 “로키 봇의 가장 주요한 목적은 브라우저나 메신저 애플리케이션, 이메일, FTP 클라이언트, 암호화폐 지갑 등으로부터 비밀번호를 훔치는 것”이라고 한다. “그리고 찾아낸 것들은 전부 로키 봇 운영자에게로 넘겨주죠.”

카스퍼스키는 이러한 공격을 두고 “기술적인 보호에 더해 직원들을 대상으로 한 보안 교육의 중요성이 다시 한 번 부각됐다”고 결론을 내린다. “직원들이 이 이메일을 열고 ISO 파일을 다운로드 받아 실행시키는 순간, 기업이 애써 마련한 모든 보안 장치들은 헛것이 되어버리고, 기업은 돌이킬 수 없는 피해를 입게 될 수도 있습니다.”

기업을 노리는 스팸 공격은 해마다 증가하고 있다고 카스퍼스키는 경고한다. “피싱과 악성 스팸 공격, 사업용 이메일을 그대로 흉내 낸 이메일을 통해 여러 크리덴셜과 기업 정보가 사기꾼들의 손에 넘어가고 있습니다. 당연히 지적 재산과 인증 정보, 데이터베이스, 은행 계좌들도 같이 사라지게 되어 있습니다.”

3줄 요약
1. 로키 봇, 또 다른 스팸 이메일 공격 시작.
2. 이번 이메일들에는 ISO 파일이 첨부되어 있음. 이 ISO에는 정보 탈취 멀웨어 및 다른 멀웨어들 들어있음.
3. 보안은 기술과 교육 병행해야만 한다는 것 다시 한 번 상기시켜줌.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>