최근 사용자가 직접 악성코드를 실행하도록 유도하는 피싱 메일이 유포되고 있다.
비용 처리나 운영 지침 검토 등의 내용으로 위장한 피싱 메일과 함께 첨부파일(.html)이 유포되고 있다고 안랩이 2일 밝혔다.
사용자가 메일 내용 확인을 위해 첨부파일을 열면 MS 워드 문서로 정교하게 위장한 가짜 페이지와 안내 메시지가 나타난다.
이 안내 메시지에는 '문서 프로그램의 온라인 버전이 설치되지 않았다'며 '문서를 보기 위해서는 '수정 방법(How to Fix)' 버튼을 클릭하라'는 내용이 적혀 있어 사용자의 클릭을 유도한다.
사용자가 버튼을 클릭하면 문서 프로그램 설치 안내로 위장한 메시지가 나타남과 동시에 사용자 PC 클립보드에 악성코드가 몰래 저장된다.
이 메시지의 실제 목적은 사용자가 ‘명령어 실행창’ 혹은 윈도우 파워쉘 프로그램을 실행하도록 유도하는 것이다. 윈도우 파워셸은 마이크로소프트가 개발한 명령어 인터프리터다. 사용자가 문서를 보기 위해 무심코 안내에 따라 붙여넣기 기능을 사용하면 악성코드를 직접 실행하게 된다.
악성코드에 감염되면 공격자는 사용자 PC에서 시스템 정보 수집, 브라우저 정보 수집, 키로깅, 원격 명령어 실행, 암호화폐 채굴 등 다양한 악성 행위를 수행할 수 있다.
해당 정보에 대해 온라인 커뮤니티 등에서는 "메일함에 의심 가는 메일 많은데 소름 끼친다", "진짜 조심해야 한다. 잘못 누르면 신상 정보 다 노출된다", "이제는 메일 보는 것조차 조심해야 한다니" 등 다양한 누리꾼 반응이 이어졌다.
현재 안랩 V3는 해당 악성코드를 진단 및 차단하고 있다. 피싱 메일로 인한 피해를 예방하기 위해서는 이메일 발신자를 꼼꼼히 확인하고, 수상한 메일 내 첨부파일 및 URL을 실행하지 않으며, V3 등 백신 프로그램을 최신 버전으로 유지하고 피싱 사이트 차단 기능을 활성화해야 한다. 또한 사용 중인 프로그램(OS, 인터넷 브라우저, 오피스 SW 등)의 최신 버전을 유지하고 보안 패치를 적용하는 등 기본 보안 수칙을 준수해야 한다.
류성현 안랩 시큐리티 인텔리전스 센터(ASEC) 분석팀 연구원은 매일경제에 “공격자는 사용자의 의심을 피해 공격의 성공 확률을 높이고자 새로운 방식으로 공격을 시도하고 있다”며 “피해 예방을 위해 출처가 불분명한 메일의 첨부파일은 열지 않도록 주의해야 한다”고 강조했다.
이와 같은 피싱 메일은 그럴듯한 내용으로 사용자를 속이기 때문에 더욱 주의가 필요하다. 보안 전문가들은 "정기적으로 백신 소프트웨어를 업데이트하고 의심스러운 이메일을 항상 경계해야 한다"고 조언한다.