“배송 안내 메일 클릭했다 랜섬웨어 감염”
상태바
“배송 안내 메일 클릭했다 랜섬웨어 감염”
  • 김선애 기자
  • 승인 2016.03.22 08:52
  • 댓글 0
이 기사를 공유합니다

포스포인트 “부활한 ‘토렌트록커’, 우체국·전력회사 위장 피싱으로 랜섬웨어 공격”

“배송안내 메일 클릭했다가 랜섬웨어에 감염될 수 있다.”

포스포인트(웹센스)는 최근 유럽에서 유행하고 있는 랜섬웨어 ‘토렌트록커(TorrentLocker)’ 분석보고서를 통해 정상 이메일을 위장한 랜섬웨어 공격에 주의할 것을 당부했다.

포스포인트가 추적하고 있는 토렌트록커는 우체국이나 전력회사에서 보낸 정상 메일로 위장한 스피어피싱 메일을 열어 링크를 클릭하면 가짜 웹사이트로 연결돼 감염되는데, 메일이나 사이트가 정상 사이트와 똑같은 모습으로 위험 여부를 판단하지 못한다.

연결된 사이트에서는 가정으로 배달하지 못한 물건을 찾아가기 위해 배송 라벨이 필요하며, 이를 다운로드 하기 위해 보안문자 코드를 입력하라고 한다. 이는 사용자를 안심시키기 위한 속임수이며,보안문자를 입력하면 토렌트록커는 EXE가 포함된 ZIP파일을 내려 받은 후 데이터를 암호화하고 몸값을 요구하게 된다.

▲새로운 토렌트록커는 이메일 본문 링크를 이용해 위장사이트로 유인한 후, 보안코드를 입력하도록 해 사용자를 안심시킨다.

토렌트록커는 2014년 유럽을 중심으로 활동했으며, 백신 기업 이셋은 2014년 12월 토렌트록커에 대한 분석보고서를 통해 2억8000만개 이상 문서를 암호화하고, 4만여대의 컴퓨터에 피해를 입혔다고 발표한 바 있다.

포스포인트는 새로 등장한 토렌트록커는 새로 등록 된 도메인을 이용하는 것이 아니라 감염된 웹 사이트에 직접 호스팅된 가짜 사이트를 사용한다는 점에 주목해야 한다고 전했다. 포스포인트가 포착한 토렌트록커는 스웨덴 우체국 포스트노드(PostNord)과 이탈리아 전력회사 에넬(Enel)의 정식 웹사이트를 따라 만든 가짜 사이트를 이용했다. 정교하게 제작된 웹사이트는 사용자가 쉽게 가짜 사이트 여부를 판단할 수 없다.

포스포인트는 “랜섬웨어 피해를 당하지 않기 위해서는 이메일 링크 클릭을 자제하고, 이메일 첨부파일 뿐 아니라 이메일에 포함된 URL까지 분석하는 이메일 보안 솔루션이 필요하다”고 밝혔다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.