홈택스(연말정산) 사칭 악성코드 조심하세요
연말정산 안내 빙자 공격 발견 첨부파일 열고 MS워드 매크로 기능 실행하면 감염
연말정산 관련 내용으로 위장한 악성 메일이 유포되고 있다
최근 연말정산 시즌을 겨냥한 홈택스 사칭 악성 메일을 통해 국내에 갠드크랩 랜섬웨어가 유포되고 있어 사용자의 주의가 필요하다.
이스트시큐리티는 국내 사용자를 대상으로 이 같은 악성 메일이 유포되고 있다고 밝혔다.
해당 악성 메일은 '2017년과 올해 연말정산 내용의 차이를 안내한다'는 내용과 함께 '2018년도 연말정산'이라는 마이크로소프트 워드 문서(doc 파일)을 첨부했다.
첨부파일을 실행하고 콘텐츠 사용을 허용하면 MS워드의 매크로 기능이 작동한다.
이후 특정 명령제어(C&C) 서버에 접속해 악성코드를 내려 받고 정보탈취, 로컬 프로세스 인젝션, 키로깅, 추가 악성코드 다운로드, 코인마이닝, 디도스(DDoS·분산 서비스 거부 공격) 등이 가능한 스모크봇(Smoke Bot)을 실행하는 식이다.
일반 직장인들이 MS워드로 문서를 작성할 때 매크로 기능을 자주 사용하는 점을 노렸다.
이스트시큐리티 시큐리티대응센터(ESRC)의 분석 결과 해당 악성코드는 감염시킬 PC 환경을 스스로 확인했다.
러시아 언어를 사용하는 운영체제(OS)에서는 동작하지 않는다.
안티가상머신(VM)기능도 탑재해 가상 머신 환경에서 실행되는 자동 분석도 피한다.
출처 : 이스트시큐리티
컨설팅 : ISMS, ISO27001 GDPR,PCI-DSS
CDR (콘텐츠 악성코드 무해화)
EDR (엔드포인트 위협 탐지·대응)
멀티백신 (옵스왓 메타디펜더)
070-7867-3721, ismsbok@gmail.com
CDR (콘텐츠 악성코드 무해화)
EDR (엔드포인트 위협 탐지·대응)
멀티백신 (옵스왓 메타디펜더)
070-7867-3721, ismsbok@gmail.com
댓글 없음:
댓글 쓰기