e메일 답장처럼 속여 악성 코드 유포…안랩, ‘칵봇’ 주의보 발령

메일에 악성 PDF 첨부 회신 방식

원본 e메일에 대한 답장인 것처럼 속여 악성 코드를 유포하는 사례가 나타나 주의가 요구된다.

16일 안랩에 따르면 윈도 악성 코드인 칵봇(Qakbot)이 ‘e메일 하이재킹’ 수법을 통해 국내 이용자들에게 유포되고 있다.

칵봇은 은행 자격 증명과 윈도 도메인 자격 증명을 훔치고, 랜섬웨어를 설치하는 등 공격자들에게 원격 접속을 제공한다. 이번에 발견된 칵봇 유포 수법은 기존에 수신된 정상 e메일을 가로채 본문에 악성 PDF 파일을 첨부한 후 이용자에게 회신하거나 전달하는 방식이다.

공격 대상은 원본 e메일의 수신자와 참조자다. 회신 또는 전달된 e메일의 본문 내용은 이전 e메일 내용과 연관성이 떨어진다. 하지만 수신자가 첨부된 PDF 파일을 열어보도록 유도한다.

PDF 파일에는 마이크로소프트 애저 로고와 함께 ‘오픈’ 버튼의 클릭을 유도하는 문구가 적혀 있다. 이를 누르면 악성 인터넷주소(URL)로 연결된다.

안랩은 “원본 e메일이 오간 시점은 2018∼2022년으로 매우 다양하다”며 “다수의 악성 e메일이 이번 사례와 유사한 형태로 유포되고 있어 출처가 불분명한 e메일은 가급적 열람해서는 안 된다”고 당부했다.

김은성 기자 kes@kyunghyang.com