비자(VISA) 신용카드와 관련된 내용으로 고객들을 현혹시켜 악성파일에 감염되도록 유도하는 악의적 이메일이 해외에서 유포된 정황이 발견됐다. 이러한 이메일은 국제적으로 발송되는 것이 보편적이라는 점에서 국내 이용자들도 조심해야 한다.
 
잉카인터넷 대응팀 관계자는 “대표적인 이메일 속임수 사기수법으로는 국제배송업체 운송장 내용이나 SNS 암호 변경 요청, 비행기 티켓 예매, 사진파일 첨부 등으로 위장한 사례가 많은 편”이라며 “이번에 발견된 경우는 많은 이용자들이 사용하고 있는 신용카드와 관련된 민감한 부분을 사용하고 있다는 점에서 유사한 위협에 노출되어 예기치 못한 피해를 입지 않도록 각별한 관심과 주의가 필요하다”고 당부했다.
 
또한 “이러한 악성 이메일은 불특정 다수에게 스팸메일처럼 대량으로 발송되는 경우가 많다는 점에서 지능형지속위협(APT) 형태의 표적공격과는 구분되며 악성파일 감염 컴퓨터가 본의 아니게 또 다른 발송지로 악용될 소지가 있을 수 있다는 것을 명심해야 한다”고 경고했다.
 
악성파일 전파 과정을 살펴보면, 우선 악성파일은 이메일의 첨부파일로 전파되며, VISA 신용카드 관련 내용으로 대부분 조작되어 있고, 발신지가 LinkedIn Passowrd라고 위장된 점도 특징이다.
 
만약 우연하게도 수신자가 링크드인 서비스와 비자 카드를 동시에 사용하는 경우는 자칫 신뢰할 수 있는 이메일로 잘못 인식해 악성 첨부파일을 열람하는 과오를 범하게 될 수 있다는 점을 유념해야 한다.
 
이메일에 첨부되어 있는 "VisaCard-N47619822.zip" 압축파일 내부에는 "VISA_ID48832743.exe"라는 이름의 악성파일이 포함되어 있으며, 아이콘은 마치 MS Word 문서처럼 보이도록 하기 위해서 조작되어 있지만 선명도가 매우 낮다.
 
사용자가 "VISA_ID48832743.exe" 파일을 실행하면 악성파일에 감염되며, [Application Data] 경로에 복사본을 생성하고 실행한다.
 
그런 후에 정상프로세스인 Explorer.exe 파일을 실행해 다수의 특정 호스트로 순차적 접속을 시도하고 C&C 서버와의 통신에 따라서 다양한 악성행위를 수행, 시도하게 된다.
 
잉카인터넷 대응팀 관계자는 “이처럼 정상적인 신용카드 내용처럼 위장해 사용자들을 현혹하거나 마치 정상적인 이메일 안내 내용처럼 보이도록 해서 알려지지 않은 악성파일을 설치하는 사례가 지속적으로 발견되고 있다”며 “사용자 스스로 이와 유사한 보안위협에 노출되지 않도록 각별한 주의와 관심을 가지는 것이 중요하다”고 조언했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com