이 메일은 법무법인을 사칭해 사용자의 심리를 자극하고, 악성 파일 실행을 유도하는 방식으로 설계됐다.
해당 URL을 클릭하면 압축파일(.zip)이 다운로드되고, 그 안에는 실행파일(.exe)과 DLL 파일이 포함되어 있다. 특히 실행파일에는 ‘.pdf’ 확장자를 포함시켜 사용자가 일반 문서로 착각하도록 유도했다.
이러한 파일을 실행하면 DLL 파일이 함께 작동되며 인포스틸러 악성코드가 작동, ▲계정 정보 ▲금융 정보 ▲키보드 입력값 ▲화면 캡처 등 다양한 개인정보를 공격자 서버로 전송한다.
안랩 측은 이번 피싱 공격이 사회공학적 기법과 정교한 위장 기술이 결합된 사례로, 첨부파일과 URL 클릭 시 각별한 주의가 필요하다고 강조했다.
피해 예방을 위해서는 ▲출처 불분명한 메일의 링크 및 파일 실행 자제 ▲의심 URL 클릭 전 공식 사이트 주소 비교 ▲OS·브라우저 등 최신 보안 패치 적용 ▲백신 실시간 감시 기능 실행 ▲계정 별 다른 비밀번호 설정 등 기본 보안 수칙을 철저히 지켜야 한다.
안랩 분석팀 이가영 선임연구원은 “이용자의 불안을 자극해 악성 파일을 클릭하게 하는 수법은 여전히 유효한 공격 방식”이라며 “수신 메일의 발신자 및 내용을 꼼꼼히 확인하고, 이상 징후가 있으면 실행을 피하는 습관이 필요하다”고 당부했다.
안랩은 자사의 위협 인텔리전스 플랫폼 ‘안랩 TIP’을 통해 이번 사례를 포함한 다양한 피싱 유형, 보안 권고문, 침해지표(IoC) 등을 공유하고 있다. 또한 V3 백신 제품군과 지능형 위협 대응 솔루션 ‘안랩 MDS’를 통해 악성 URL 탐지 및 실행 차단 기능을 제공 중이다.