제목 | 공공기관을 사칭하여 유포중인 악성코드 주의(.lnk) | ||||||
---|---|---|---|---|---|---|---|
작성자 | 정보통신팀 | 등록일 | 2023-11-21 | 조회 | 4578 | ||
첨부 | |||||||
보안 전문업체 ‘안랩’은 최근 악성 바로가기(*.lnk) 파일이 공공기관을 사칭하여 유포되고 있는 것을 확인하였다고 안내하였습니다. 해당 메일은 주로 통일, 안보 관계자를 대상으로 하여 정상 문서처럼 보이기 위해 사례비 지급에 관련된 내용으로 위장한 것이 특징이며 사용자 정보 유출 및 추가 악성코드를 다운로드 하는 방식을 사용하고 있습니다. [그림] 악성 바로가기 파일 동작 방식(자료출처 : 안랩 블로그) 메일에 첨부된 html 파일 실행 시 다음과 같이 보안 메일을 위장한 페이지 창이 생성되며 실제 보안 메일처럼 보이기 위해 비밀번호를 함께 전송하는 방식으로 실제로는 해당 칸에 비밀번호를 입력하지 않고도 확인 버튼을 클릭하면 본문 내용을 확인 할 수 있습니다. [그림] html 파일 실행시 표시되는 화면(자료출처 : 안랩 블로그) 해당 파일 본문에는 공공기관을 사칭한 내용이 작성되어 있고 관련된 제목의 첨부된 압축 파일이 존재하며 해당 파일에는 사례비 양식의 정상 한글 문서와 함께 악성 바로가기(.lnk) 파일이 포함되어 있습니다. [그림] 압축 파일 내부(자료출처 : 안랩 블로그) 확인된 악성 파일명은 아래와 같으며 해당파일 실행 시 정상 한글 문서가 실행되어 사용자는 악성 행위의 수행 여부를 확인하기 어려워 사용자의 주요 정보 탈취 및 공격자의 추가 명령에 따른 키로깅, 브라우저 계정정보 탈취, 화면캡쳐 등의 악성 행위가 수행 될 수 있습니다. 이에 관련 유형의 악성 파일명을 같이 안내 드리니 해당 내용을 참조하시어 발신자가 불분명한 이메일 내 링크 및 첨부파일 실행을 지양하고 계정 보안 강화를 부탁드립니다.
|