’방문판매법 위반‘ 판결자료 낚시 악성코드 발견

홍세연 기자 | 기사입력 2020/07/02 [11:01]

’방문판매법 위반‘ 판결자료 낚시 악성코드 발견

홍세연 기자 | 입력 : 2020/07/02 [11:01]

 

▲ 법원판결 내용을 사칭한 악성 엑셀문서 (이미지제공=안랩)

 

최근 지자체가 코로나19 확산 방지를 위해 불법 방문판매 행위 단속 강화를 발표한 가운데 ‘방문판매법위반 방조’ 법원판결을 사칭한 악성코드가 발견됐다.

 

안랩은 ‘방문판매법위반을 방조했으니 벌금을 내라’는 내용의 법원 판결을 사칭한 악성 문서로 유포되는 악성코드를 발견했다고 2일 밝혔다.

 

금번에 발견된 악성 문서는 엑셀(.xls)형태로 해당 문서를 열면 ‘내용을 보기 위해서는 위 노란색 막대의 ’편집사용‘ 버튼을 눌러라“라는 메시지가 나온다. 이후 ’콘텐츠 사용‘ 버튼을 눌러라라는 안내가 나와 악성 매크로 사용을 유도하는 방식이다.

 

악성 매크로는 실행 후 C&C 서버에 접속해 법원판결 내용을 담은 새로운 문서파일(.xls)과 정보 유출 악성코드를 동시에 다운로드받는다. 

 

다운로드 완료 후에는 새로 받은 문서파일이 자동으로 실행된다. 이 문서에는 피고인의 개인정보와 실존하는 변호사 정보와 함께 ‘‘방문판매등에관한법률위반방조’라는 죄명으로 벌금 1500만원을 납부하라’는 법원판결 내용이 이미지 형태로 포함되어 있다. 또한 매크로 실행을 유도하기 위해 문서 상단에 ‘콘텐츠 사용’ 버튼을 배치했다.

 

사용자가 의심없이 ‘콘텐츠 사용’ 버튼을 누를 경우 함께 다운로드되었던 정보 유출 악성코드가 실행된다. 실행된 악성코드는 사용자 PC 내 ‘다운로드’ 폴더 파일 목록, ‘문서’ 폴더 파일 목록, IP 주소 등 PC 정보를 탈취하며 추가 악성코드를 내려받아 실행할 수도 있다. 안랩 V3는 해당 악성코드를 진단 및 차단하고 있다.

 

안랩 분석팀 박종윤 주임 연구원은 “공격자는 최근 이슈를 악용한 문서의 안내문 형태로 매크로 실행을 유도하기 때문에 사용자가 자신도 모르게 피해를 당할 수 있다”며 “출처를 알 수 없는 메일 속 첨부파일 실행은 자제하고 실행하더라도 ‘편집 사용’이나 ‘콘텐츠 사용’ 등의 매크로 실행을 유도할 경우 의심을 해봐야 한다”고 말했다.

 

문화저널21 홍세연 기자

  • 도배방지 이미지

관련기사목록
광고
[MJ포토] 걸그룹 모모랜드, '한류아이돌 부문 대상 받았어요~'
광고
광고
광고
광고