"'UT.PDF'는 뭐지?"…안랩, 정상메일 위장한 악성코드 '칵봇' 주의 당부

기사내용 요약
안랩 시큐리티대응센터 "칵봇, 최근 이메일 하이재킹 방식으로 유포돼"

[서울=뉴시스] 안랩 시큐리티대응센터(ASEC)는 최근 뱅킹형 악성코드 '칵봇(Qakbot)'이 '이메일 하이재킹' 방식으로 유포되고 있다고 밝혔다. (사진=안랩 시큐리티대응센터 블로그) *재판매 및 DB 금지

[서울=뉴시스]윤정민 기자 = 기존 이메일을 회신 또는 전달한 이메일인 것처럼 속여 악성 PDF파일을 첨부해 악성코드를 유포하는 사이버 공격 정황이 포착됐다.

16일 안랩 시큐리티대응센터(ASEC)에 따르면 뱅킹형 악성코드 '칵봇(Qakbot)'이 최근 '이메일 하이재킹' 방식으로 유포되고 있었다.

칵봇은 은행 자격 증명 등 금융정보와 윈도 도메인 자격 증명 등을 탈취하는 악성코드로 알려져 있다.

안랩이 탐지한 수법은 정상 메일을 가로채 악성 파일 첨부 후 사용자에게 회신한 형태였다. 수신대상으로는 기존 메일 수신·참조인 메일 주소를 활용했다.

해당 메일은 첨부파일 열람을 유도하는 내용으로 기재돼 있다. 메일 원문과는 관련이 없어 보이지만 수신자는 정상적인 회신으로 판단해 큰 의심 없이 첨부파일(PDF 파일)을 열어볼 수 있어 주의해야 한다.

안랩은 이메일에 첨부된 PDF 파일명이 'UT.PDF', 'RA.PDF', 'NM.PDF'와 같이 자동화로 생성한 것으로 추정되는 랜덤 문자의 형태를 띈다고 말했다. 해당 PDF 파일을 실행하면 마이크로소프트 애저(Azure) 로고와 함께 '오픈' 버튼 클릭을 유도하는 메세지가 나타난다.

수신자가 '오픈' 버튼을 클릭하면 악성 접속 경로(URL)로 연결되고, 해당 URL에 연결이 가능할 경우 암호화 압축된 집(ZIP) 파일을 다운로드하게 된다. 암호가 걸린 ZIP 파일은 PDF 본문에 기재된 패스워드로 압축해제할 수 있다.

안랩은 "원본 이메일이 오간 시점이 2018~2022년으로 매우 다양한 양상을 보이고 최근 시점의 이메일은 아닌 것으로 확인됐다"고 말했다.

아울러 "다수 악성 메일이 이번 사례와 유사한 형태로 유포되고 있어 출처가 불분명한 메일은 가급적 열람해서는 안 된다"고 강조했다.

☞공감언론 뉴시스 alpaca@newsis.com