공정위 사칭 갠드크랩 랜섬웨어 유포 조직, 세무사 사칭해 정보탈취 악성코드 유포
국내 감염비율, 서울 78.26%로 가장 높아...오전 9시 30분과 낮 1시 30분경 많이 감염

[보안뉴스 김경애 기자] 최근 세무사 사무실을 사칭한 악성 메일로 사용자 정보를 탈취하는 악성코드가 발견됐다. 특히, 악성코드 유포자는 공정위를 사칭해 갠드크랩 랜섬웨어를 뿌린 조직으로 추정되고 있다. 이들 해커조직은 국내를 타깃으로 지속적으로 악성코드를 유포하고 있는 만큼 이용자들의 각별한 주의가 요구된다.


지난 12일 발견된 악성 메일은 ‘세무사 사무실 입니다’는 내용으로 첨부파일의 실행을 유도한다.

악성 메일에 첨부된 ‘432540098765.zip’ 압축파일에는 화면 보호기 파일(Document1.scr)로 위장한 실행 파일이 있다.

만일 이용자가 파일을 실행할 경우, 명령어에 의해 %temp%svhost.exe 파일이 생성 및 실행된다. 인젝션되어 실행되는 ‘svhost.exe’는 명령제어(C&C) 서버에 연결하고, 악성코드는 정보탈취 기능을 수행한다.


보안전문기업 이스트시큐리티의 통계에 의하면 이러한 유형의 악성코드에 감염된 지역 분포는 78.26%로 서울이 압도적으로 높은 비율을 차지했다. 특히, 오전 근무 시작시간인 9시 30분경과 오후 근무 시작 시간인 낮 1시 30분경에 가장 많이 감염된 것으로 나타났다.


이렇듯 악성 HTML 파일이 첨부된 회신 요청 메일, 악성코드가 첨부된 무역 관련 악성 메일 등 다양한 형태의 악성메일들이 유포되고 있어 각별한 주의가 필요하다.

특히, 이번에 발견된 세무사 사무실 사칭 악성메일 유포자는 최근에 공정위를 사칭해 악성 이메일을 유포한 조직과 동일범으로 추정되고 있는데, 이들은 최근에 무역 관련 악성메일도 유포한 것으로 분석됐다.

이스트시큐리티 측은 “해당 악성코드는 감염자중 50%에 가까운 사람이 치료버튼을 누르지 않았는데 이는 사회공학적 방법 특성상 백신이 탐지해도 사람을 통해 우회할 수 있는 그 자체로 강력한 기능을 갖추고 있다고 볼 수 있다”며 “출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근하지 말고, 검증되지 않은 파일을 실행하기 전에는 백신 프로그램을 이용해 악성 여부를 반드시 검사해야 한다”고 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>