해상 화물 운송장 메일로 위장한 악성코드 유포 사례가 발견돼 사용자의 주의가 요구된다.
안랩(053800)은 5일 정보 탈취형 악성코드인 ‘로키봇(Lokibot)’이 e메일을 통해 퍼지고 있다고 밝혔다.
공격자는 송장이나 명세서, 구매 안내서 등 물류 운송 내용으로 위장한 메일을 사용자에게 발송한다.
여기에는 국내 해운 물류 기업의 선박 이름으로 된 파일이 첨부된다. 사용자가 의심 없이 파일을 실행하도록 유도하기 위한 방식이다.
첨부 악성 파일은 실행파일이 포함된 압축파일 또는 문서파일이다.
사용자가 무심코 파일을 실행하면 악성코드가 깔리고 사용자 PC의 메일, 웹 브라우저, 패스워드 관리 프로그램 등으로부터 정보를 수집한다.
아울러 사용자 몰래 통제 서버에 접속해 탈취한 정보를 전송하고 감염 PC를 식별하기 위한 계정(ID)을 생성한다. 이는 공격자가 사용자 PC를 원격 조종해 추가로 악성 행위를 진행하기 위한 것으로 보인다.
박태환 안랩 ASEC대응팀장은 “이번 악성코드는 해외 직접구매(직구) 등 전자상거래 사용자를 노린 것으로 추정된다”면서 “출처가 분명하지 않은 첨부 파일은 실행하지 말고 백신 프로그램을 최신 버전으로 유지하면서 실시간 감시 기능을 실행시켜야 악성코드를 예방할 수 있다”고 말했다.
