[주의]해외 전자 청구서 내용으로 위장된 악성 이메일 국내 전파 중

1. 개요

잉카인터넷 대응팀은 해외의 Windstream 서비스 내용으로 둔갑한 악의적 이메일이 국내에 다수 유입되어 급속히 전파 중인 정황을 포착하였다. 이메일은 "Your Windstream bill is available for viewing" 라는 제목으로 전파 중이며, 첨부파일이 존재하지 않고, 본문에 포함되어 있는 악의적인 URL 링크 주소 클릭을 통해서 악성파일 감염 시도를 하게 된다. 본문에는 매우 다양한 악의적 웹 사이트가 연결되어 있는데, 이것은 Blackhole Web Malware Exploitation Kit 방식을 이용한 형태이고, 공격자는 실시간으로 감염자 현황 모니터링과 다양한 보안 취약점 공격을 사용할 수 있다. 국내에 해당 악성 이메일 유입이 증가하고 있으므로 사용자들은 이러한 내용의 영문 이메일에 현혹되지 않도록 각별한 관심과 주의가 요망된다.

---

- Windstream 에서 발송한 이메일처럼 사칭한 속임수 주의
- 첨부파일을 이용하지 않고, 각종 보안 취약점이 존재하는 웹사이트로 클릭 유도
- 다양하고 가변적인 악성 웹 사이트를 이용하여 차단이 어려움
- 호기심 클릭한번으로 인해서 자신도 모르게 악성파일에 노출

2. 악성 이메일 내용

사진파일로 위장잠입 시도하는 악성 이메일 국내발견 증가
☞ http://erteam.nprotect.com/286

조작된 링크드인 인맥과 맞춤형 악성파일 국내 유입
☞ http://erteam.nprotect.com/281

초상권 침해 내용으로 유혹 중인 악성파일 국내 발견
☞ http://erteam.nprotect.com/276

이메일은 다음과 같은 형식으로 불특정 다수의 사용자들에게 무차별적으로 발송되며, 메일 본문에는 매우 다양한 악성 웹 사이트 주소가 링크되어 있다.

제목 : Your Windstream bill is available for viewing

이메일 본문에는 매우 다양한 웹 사이트 URL 주소가 링크되어 있고, 악의적 메일에 따라서도 주소가 각기 모두 다른 상태이다.

hxxp://kocaeliyuz****.com/XRVTGJvu/index.html?s=883&lid=2324&elq=11f7b1b5179f45b09737bdf10d0fe61f

hxxp://findingaplu****.com/cousfaek/index.html?s=883&lid=2325&elq=11f7b1b5179f45b09737bdf10d0fe61f

hxxp://glassdirec****.com.au/8t6d37YU/index.html?s=883&lid=2325&elq=11f7b1b5179f45b09737bdf10d0fe61f

hxxp://miespaciopil****.com/5AWZcNGb/index.html?s=883&lid=2327&elq=11f7b1b5179f45b09737bdf10d0fe61f

hxxp://radiog****.net/8t6d37YU/index.html?s=883&lid=2328&elq=11f7b1b5179f45b09737bdf10d0fe61f

hxxp://seven****.co.za/Zb2s9AuQ/index.html?s=883&lid=2328&elq=11f7b1b5179f45b09737bdf10d0fe61f

사용자가 본문에 포함된 링크를 클릭하게 되면 아래와 같이 악성파일이 포함된 웹 사이트로 연결되고, 다양한 보안취약점에 노출되게 된다.

웹 사이트는 또 다시 js.js 파일에 의해서 다음과 같은 화면을 잠시 보여주었다가, 다양한 악성파일을 설치 후에 정상적인 msn.com 사이트로 리다이렉션 시켜준다.

hxxp://ican****.co.uk/wvGCntXp/js.js
hxxp://www.camargotur****.com.br/9jNMTCoL/js.js

js.js 파일은 다음과 같은 내용을 포함하고 있다.

document.location='http://184.***.**.237/search.php?q=fa16f5d3def51288';

그 다음에 Adobe Flash Player, JAVA 취약점 등을 이용해서 악성파일 설치를 시도한다.

hxxp://184.***.**.237/data/ap2.php

hxxp://akradugunsalo*****.com/k0g2Cgr9/nn4hWpH.exe
hxxp://annonceagr*****.com/eud7io3A/M13ZGPt.exe

악성파일은 explorer.exe 파일에 Injection 되어 특정 웹 사이트 호스트로 접속을 시도하게 되고, C&C(Command and Control) 명령에 따라서 다양한 보안 위협에 노출될 수 있다. 

또한, 공격자는 감염된 컴퓨터의 현황을 실시간으로 모니터링할 수 있고, 다양한 제어를 할 수 있다.

3. 마무리

이메일 첨부파일 형태가 아닌 본문에 다양한 악성 웹 사이트 URL 링크 주소의 클릭을 유도하는 종류의 악성 이메일이 국내에 다수 유입되고 있는 상황이다. 따라서 이용자들은 이와 유사한 이메일에 현혹되지 않도록 각별한 주의가 필요하다.

이와 같은 보안위협으로 부터 안전할려면 사용자 스스로 보안의식을 가지는 것이 매우 중요하며, 수신된 첨부파일이나 본문에 포함된 URL 링크 주소에 잠재적 보안위협이 포함되어 있을 수도 있다는 의심과 악성파일 검사 정도는 한번 쯤 꼭 하고 열람하는 습관이 요구된다.

위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의

※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.