안랩은 최근 이메일 하이재킹 방식으로 악성코드를 유포하는 사례가 발견되고 있다고 밝혔다. /안랩
‘RE: 본사 투어 신청 문의’ ‘FW: 제휴서비스 신청 고객 이벤트 검토 요청’
기존에 상대방과 주고받은 이메일에 대한 답장(RE) 또는 전달(FW)한 이메일인 것처럼 속여 악성 코드를 유포하는 사례가 나와 주의가 요구된다.
16일 보안업체 안랩은 최근 악성코드인 ‘칵봇(Qakbot)’이 최근 이메일 하이재킹(가로챔) 방식으로 유포되고 있다고 밝혔다. 칵봇은 은행 자격 증명 같은 금융 정보와 윈도 도메인 자격 증명을 훔치는 악성코드다.
해커들은 이용자의 메일함에 있는 정상 메일을 가로챈 뒤 악성 파일을 첨부해 사용자에게 회신하거나 전달하는 방식을 사용했다. 본문에는 “계약 때문에 첨부된 문서에 서명해주시길 바란다”와 같은 내용을 담아 이용자가 첨부파일을 실행하도록 유도한다. 이메일에 첨부된 PDF 파일명은 ‘UT.PDF’ ‘RA.PDF’ ‘NM.PDF’ 등으로 이용자가 파일을 열면 악성 인터넷 주소(URL)로 연결되고 순서에 따라 악성 프로그램이 설치된다.
