안랩, 구매송장 위장 악성코드 ‘이모텟(Emotet)’ 주의 당부
안랩(053800)은 19일 구매 송장(invoice) 메일로 위장해 사용자 정보를 노리는 악성코드 유포 사례가 발견돼 사용자의 주의가 필요하다고 밝혔다.
공격자(해커)는 크리스마스와 연말 선물 등 온라인 구매가 많아지는 최근 시기에 ‘Invoice 000(무작위 숫자)’, ‘Invoice Confirmation(송장 확인)’ 등 해외 거래 송장으로 위장한 메일을 발송해 사용자 클릭을 유도했다. 공격자는 해당 위장메일에 문서 파일(.doc)로 된 악성파일을 직접 첨부하거나, 악성 URL을 포함시켜 악성코드를 유포했다.
만약 사용자가 첨부된 악성파일이나 다운로드 받은 악성 파일을 실행하면 정상 문서 파일 화면과 ‘매크로를 사용할 수 없도록 설정했습니다’라는 안내와 함께 매크로 설치를 권유하는 콘텐츠 사용 버튼이 나타난다. 사용자가 버튼을 클릭하면 이모텟(Emotet) 악성코드가 실행된다.
이모텟 악성코드는 사용자 몰래 PC에 실행 중인 웹 브라우저를 확인한 뒤 계정(ID), 비밀번호 등 사용자 정보와 감염 PC의 시스템 정보를 탈취해 공격자에게 전송한다. 웹사이트에 접속해 추가 악성코드를 다운로드 시도하며 사용자 PC가 켜질 때마다 이모텟 악성코드가 동작하도록 사용자 PC 설정을 변경하기도 한다.
안랩은 △출처가 불분명한 메일의 첨부파일과 URL 실행금지 △백신 최신버전 유지와 실시간 감시 기능 실행 △파일 실행 전 최신 버전 백신으로 검사 △OS(운영체제)와 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 오피스 소프트웨어 등 프로그램 최신 보안 패치 적용 등 필수 보안 수칙을 실행해야 한다고 권했다.