e메일 답장처럼 속여 악성코드 유포···안랩, ‘칵봇’ 주의보

김은성 기자 2023. 4. 16. 10:43
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

악성 PDF가 첨부된 메일. 안랩

원본 e메일에 대한 답장인 것처럼 속여 악성 코드를 유포하는 사례가 나타나 주의가 요구된다.

16일 안랩에 따르면 윈도우 악성 코드인 칵봇(Qakbot)이 ‘e메일 하이재킹’ 수법을 통해 국내 이용자들에게 유포되고 있다.

칵봇은 은행 자격 증명과 윈도우 도메인 자격 증명을 훔치고, 랜섬웨어를 설치하는 등 공격자들에게 원격 접속을 제공한다.

이번에 발견된 칵봇 유포 수법은 기존에 수신된 정상 e메일을 가로채 본문에 악성 PDF 파일을 첨부한 후 이용자에게 회신하거나 전달하는 방식이다.

공격 대상은 원본 e메일의 수신자와 참조자다. 회신 또는 전달된 e메일의 본문 내용은 이전 e메일 내용과 연관성이 떨어진다. 하지만 수신자가 첨부된 PDF 파일을 열어보도록 유도한다.

PDF 파일에는 마이크로소프트 애저 로고와 함께 ‘오픈’ 버튼의 클릭을 유도하는 문구가 적혀 있다. 이를 누르면 악성 인터넷주소(URL)로 연결된다.

안랩은 “원본 e메일이 오간 시점은 2018∼2022년으로 매우 다양하다”며 “다수의 악성 e메일이 이번 사례와 유사한 형태로 유포되고 있어 출처가 불분명한 e메일은 가급적 열람해서는 안된다”고 당부했다.

김은성 기자 kes@kyunghyang.com

Copyright © 경향신문. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?