[아이뉴스24 최은정 기자] KEB하나은행 보안메일로 위장한 악성메일이 유포되고 있어 사용자 주의가 요구된다.
20일 이스트시큐리티 시큐리티대응센터(ESRC)는 자사 블로그를 통해 악성 HTML이 첨부된 가짜 하나은행 보안메일을 발견했다고 밝혔다.
'(KEB하나은행) 보고서' 제목 메일에는 "고객님께서 요청하신 이메일서비스를 보내드린다"며 "본 메일은 개인정보보호를 위해 암호화해 첨부됐다"고 적혀있다.
이어 "첨부파일을 클릭하시고 비밀번호를 입력하라"며 사용자가 악성파일을 다운로드 하게끔 유도했다.
![번호 입력시 자동으로 엑셀파일이 다운로드된다. [이미지=캡처]](https://img-lb.inews24.com/image_gisa/201912/157682446978_1_161617.jpg)
해당 메일에 첨부된 HTML을 누르면 실제 이메일 보안메일 창과 동일하게 생긴 페이지가 뜬다. 여기에 생년월일 6자리 등 번호를 입력하면 엑셀(.xls) 문서가 자동으로 내려온다. 이 파일에는 악성 매크로가 포함돼 있다.
이 엑셀파일 내 '콘텐츠 사용' 버튼을 눌러 매크로를 활성화하면, 다음으로 마이크로소프트 오피스 구성요소(MS Office Components) 설치 화면이 뜬다.
하지만 이 역시 가짜로 연출된 것. 실제로는 'outgoing.dll' 악성모듈이 작동된다. outgoing.dll을 통해 감염된 PC명, 사용자명, 운영체제(OS) 정보 등이 해커의 명령제어서버(C2)로 전송된다. 추가 악성파일이 받아지기도 한다.
ESRC 측은 "해당 악성메일이 현재 대량으로 유포되고 있어 사용자의 각별한 주의가 필요하다"며 "분석결과, TA505 조직이 배후에 있는 것으로 확인됐다"고 말했다.
러시아 해커 그룹 TA505는 지난 7월 한국투자증권 직원 PC 3대를 감염시킨 것으로 알려진 조직이다.
주로 원격관리도구(RAT)를 통해 기업네트워크관리서버(AD) 존재 여부를 파악한다. 기업이라고 판단시 클롭 랜섬웨어를 내보내 내부망 시스템을 마비시키는 방식으로 공격을 감행한다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기