우체국 택배로부터 온 메일입니다? 주의!

최근 ‘인터넷 우체국’을 사칭하는 스팸 메일이 유포되고 있어 인터넷 이용자들의 주의가 요구된다. ‘소포의 배송 주소가 잘못되어 있으니 확인하라’는 내용으로 사용자들을 유도하여 악성코드 다운로드를 시도한다. 해당 악성코드는 사용자의 키보드 입력 값을 탈취하고나 사용하고 있는 프로그램의 정보를 외부로 전송하는 것으로 확인됐다. 

스팸 메일은 여전히 효과적인 악성코드 유포 수단이다. 물론 그간 다수의 보안 침해 사례와 보안 업계의 적극적인 행보로 사용자들의 보안 의식이 높아진 것이 사실이다. 그러자 공격자들은 사람들의 호기심이나 일상 생활에 관련이 있을 법한 내용으로 사용자들을 유도하는 사회공학적 기법을 이용하고 있다. 특히 이번에 발견된 우체국 사칭 이메일은 최근의 스팸 메일과 달리 영문이 아닌 한국어로 작성되어 있어 스팸 공격이 나날이 고도화되고 있음을 짐작케한다. 

아래 [그림 1]은 최근 유포된 우체국 사칭 이메일이다. 메일 내에 우체국 로고를 사용하고 있을 뿐만 아니라 어색한 문장이기는 하지만 한국어로 작성되어 사용자의 관심을 유도하고 있다. 

[그림 1] 우체국 사칭 이메일 

만일 사용자가 이 메일의 첨부 파일을 실행하면 “랜덤문자열.exe” 파일이 <C:\Documents and Settings\[사용자 계정]\Application Data\랜덤문자열\> 경로에 자신을 자가복제 한다. 또한 시스템 시작 시 자동실행 되도록 하기 위해 레지스트리에 등록한다(HKCU\Software\Microsoft\Windows\CurrentVersion\Run\).

해당 악성코드는 시스템 권환을 획득한 후 사용자가 실행하는 프로그램 및 키보드 입력 값을 탈취하여 <C:\Documents and Settings\[사용자 계정]\Application Data\dclogs\> 경로에 “Y(년)-M(월)-D(일)-H(시간).dc”라는 로그를 저장한다. 또한 특정 IP로 접속을 시도하는데, 해당 서버와 통신이 이루어지면 감염된 시스템에서 수집한 정보를 AES 암호화 후 전송하는 것으로 보인다. 이를 통해 C&C 서버로부터 추가 악성코드를 다운받거나 RAT류 악성코드를 이용해 공격자가 감염된 시스템을 원격 제어할 수도 있다. 

이메일을 통한 악성코드 유포는 매우 고전적인 수법이기는 하지만 사라지지 않고 지속적으로 발생하는 것만 보아도 여전히 유효한 수법임이 틀림없다. 게다가 나날이 지능화되고 있으며, 이번 사례처럼 특정 지역의 사용자를 노리는 ‘맞춤형 스팸’으로 진화하고 있음을 알 수 있다. 아직은 어설픈(?) 한국어지만 보이스 피싱의 진화처럼 조만간 정확한 한국어 스팸으로 진화할지도 모를 일이다. 

따라서 사용자들은 이메일 이용 시 아래와 같이 ‘이메일 보안 기본 수칙’ 준수에 더욱 주의를 기울여야겠다. 아울러 백신 사용 및 최신 엔진 버전 유지, 윈도우 및 각종 응용프로그램의 최신 보안 패치 적용 등 기본적인 부분도 잊지 말아야 하겠다. 

한편 V3 365 Clinic 등 V3 제품은 이번 악성코드를 아래와 같은 진단명으로 탐지하고 있다. 

<V3 제품군의 진단명>

Win-Trojan/FCN.140610 (2015.10.19.06)