은행 보안메일 위장 악성메일 유포
상태바
은행 보안메일 위장 악성메일 유포
  • 김선애 기자
  • 승인 2019.12.20 10:26
  • 댓글 0
이 기사를 공유합니다

정상 보안메일과 동일한 프로세스로 작동
사용자 정보 유출하는 악성코드 설치

[데이터넷] KEB하나은행 보안메일을 위장한 악성메일이 유포되고 있어 사용자들의 각별한 주의가 요구된다.

이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 이 메일에는 html 파일이 첨부돼 있으며, 이를 클릭하면 정상적인 보안 이메일과 동일하게 생년월일 6자리를 입력하라는 페이지가 뜬다. 패스워드를 입력하면 엑셀 문서가 자동으로 다운로드된다.

▲은행 보안메일로 위장한 악성메일
▲은행 보안메일로 위장한 악성메일(이미지 제공: 이스트시큐리티)

엑셀 파일에 악성 매크로가 포함돼 있으며, 매크로를 활성화시키면 마이크로소프트 오피스 컴포넌트 설치 팝업이 뜬다. 이 팝업창은 위장된 것으로, 실제로는 백그라운드에서 ‘%appdata%\\Microsoft\Windows\Templates\’ 경로에 ‘outgoing.dll’ 악성 모듈 드롭 및 ‘glitch’ 파라메터로 ‘EXCEL.exe’ 프로세스에 로드한다.

이 악성파일은 C&C로 컴퓨터 이름과 사용자 이름, 운영체제 정보, 현재 실행 중인 프로세스 이름 등의 시스템 정보를 빼낸다.

ESRC 관계자는 “현재 이 악성메일이 대량으로 유포되고 있어 사용자들은 주의해야 한다”며 “이스트시큐리티 ‘알약’이 이를 탐지하고 있다”고 말했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.