보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

‘장학금 신청’ 관련 내용 피싱 메일 연이어 유포! 금융정보까지 노린다

  |  입력 : 2021-05-16 23:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
대학교 교직원 장학금 신청 관련 내용으로 피싱 메일 4건 다량 유포중
이스트시큐리티 ESRC, 금융정보 탈취 노려 기업체 감염시 큰 피해 우려


[보안뉴스 권 준 기자] 최근 국내 유명 대학교 교직원 장학금 신청 관련 내용으로 피싱 메일이 다량 유포되고 있는 것으로 드러났다.

보안전문 기업 이스트시큐리티의 시큐리티대응센터(ESRC)에 따르면 5월 13일 오후 11시 43분경에 수신된 것으로 확인되는 메일들은 ‘Re: 00대학교 교직원 장학금 장학생 모집 신청서 예술공학부’, ‘Re: 00대학교 교직원 장학금 신청서 (20163100 김한빈)’, ‘Re: 00대학교 교직원 장학금 신청서-20196231 양란아’와 같은 제목을 사용하며, 본문에는 학생의 이름, 전공과 학번 등을 포함해 장학금을 신청한다는 내용을 담고 있다.

▲장학금 신청 관련 내용으로 위장한 피싱 메일[자료=이스트시큐리티 ESRC]


메일 본문은 영어와 한글 버전이 모두 작성되어 있어 수신자의 국적에 관계없이 첨부파일을 열어보도록 유도했다. 메일에 사용된 발신 주소 도메인은 실제로 존재하는 스페인, 캐나다 등의 해외 기업으로 신뢰성을 높였으며, 수신자 도메인은 모두 국내 유명 포털사이트 계정을 사용한 것으로 분석됐다.

13일에 이어 14일 오전 12시 49분경에도 ‘Re: EXCAVATOR PARTS SUPPLIER in KOREA-DSCO’라는 제목의 피싱 메일이 추가로 발견됐다. 발신 주소 역시 실제 존재하는 웹 디자인 기업이며, 수신자 도메인 또한 앞선 3개의 메일과 동일하게 국내 유명 포털사이트 계정을 사용했다는 게 ESRC 측의 설명이다.

발견된 4개의 메일에는 공통적으로 zip 압축 파일이 포함되어 있다. 해당 파일들은 ‘Debt-Details-2065399866-05132021.zip’, ‘Debt-Details-2037842254-05132021.zip’, ‘Debt-Details-1184647712-05132021.zip’, ‘Debt-Details-930068589-05132021.zip’라는 파일명을 사용했으며, 압축 파일 내에는 확장자만 변경된 액셀(xlsm) 파일이 포함되어 있는 것으로 드러났다.

▲첨부파일 내 포함된 엑셀 파일[자료=이스트시큐리티 ESRC]


해당 파일 실행시, 문서 상단에는 ‘매크로를 사용할 수 없도록 설정했습니다’라는 문구를 포함한 보안 경고창이 나타나며, 문서 열람 및 편집을 위해 사용자에게 ‘편집 사용’ 버튼 및 ‘콘텐츠 사용’ 버튼을 클릭하도록 유도하고 있다. 해당 내용은 영문으로 작성되어 있으며, ‘Microsoft Office과 관련 없는’ 애플리케이션을 사용하여 제작된 문서라는 내용이 본문 상단에 나타난다.

엑셀 파일은 총 6개의 숨겨진 Sheet가 존재하며 각 Sheet마다 매크로 구문이 작성되어 있는데, 매크로 동작 시 문서 내에 기재 된 명령제어(C&C) 서버를 사용해 특정 URL에서 동일한 파일(lertio.cersw, lertio.cersw1, lertio.cersw2)들을 다운로드 받는 것으로 분석됐다.

분석결과, 해당 파일은 QakBot(이하 Qbot) 악성코드로 확인됐다고 ESRC 측은 밝혔다. ‘QBot’는 사용자 PC 정보를 수집 및 전송 후 C&C에서 공격자 명령에 따라 다운로더, 인젝션 등 추가 악성 행위를 수행하는 악성코드로 알려졌다. QBot 악성코드는 백신 프로세스에 따라 악성코드 설치 및 실행 방법이 다르며, 페이로드에서 약 151개의 C&C 목록을 사용하는 것이 특징이다. 또한, C&C에서 브라우저, 뱅킹 정보 탈취 관련 추가 모듈 등을 다운로드 받는 것으로 알려져 있어 특히 기업체에서 감염이 되는 경우 큰 피해가 발생할 가능성이 높다.

이와 관련 이스트시큐리티 ESRC 측은 “악성코드로부터의 감염을 예방하기 위해서는 출처가 불분명한 메일에 있는 첨부파일에 접근하지 않도록 주의해야 한다”며, “현재 알약에서는 해당 악성코드를 ‘Trojan.Downloader.XLS.gen’, ‘Trojan.Agent.QakBot’ 탐지명으로 진단하고 있다”고 밝혔다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북