국내에 대량 유포중인 새로운 송장/인보이스 사칭 악성 이메일 주의!

안녕하세요?

이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 

2019년 03월 07일 국내에 송장 혹은 인보이스를 위장한 새로운 악성 이메일이 다량 유포되고 있어 사용자들의 각별한 주의가 필요합니다.

ESRC에서는 지난 02월 19일 이와 유사한 공격 사례를 공개해 드린 바 있는데, 이번 공격도 같은 위협의 연장선으로 보고 있습니다.

국내 기업, 기관을 대상으로 대량 유포중인 송장/인보이스 사칭 악성 이메일 주의! (2019.02.19)

실제 유포된 이메일을 살펴보면 아래와 같이 한글로된 발신자 명으로 되어 있으며, 법인 결산에 필요한 서류를 요청한다는 메일 내용이 작성되어 있습니다. 

[그림1] 악성 이메일 화면

하지만 발송된 메일의 도메인을 soal.com을 검색해 보면 해당 도메인의 홈페이지로 접속 되는 것이 아니라 

https://www.cybersmart.co.za/home/ 으로 접속 되는 것을 확인할 수 있습니다.

[그림2] soal.com 도메인 페이지 화면

물론, 이 cybersmart라는 웹페이지는 다른 여러가지 형태로 변경되어 보여지기도 합니다.

이메일 본문 내용을 살펴보면 실제 한국에서 보내진 이메일로 오해할 수 있을 만큼 내용이 정교하게 만들어져 있습니다.

안녕하세요

 

법인결산에 필요한 서류 요청드려요.

 

수고하세요 

 

위드택스세무회계사무소

전화 031-920-8355

팩스 031-920-8356

항상 귀사의 무궁한 발전을 기원합니다.

메일 내용에는 위드택스세무회계 사무소를 사칭하고 있지만, 위드택스세무회계 사무소의 실제 도메인은 메일의 도메인(soal.com)과 전혀 다른 도메인을 사용하고 있습니다.

또한 위택스세무회계 사무소의 고객상담센터 대표 번호와 팩스번호를 교묘하게 뒷자리만 바꿔 사용하였습니다.

현재 이 악성메일에 주의를 기울여야 하는 이유는, 공격자들이 최초 불특정다수에게 악성메일을 뿌려 감염을 시키고 일단 감염된 사용자들로부터 거래처 정보를 수집하는 정황이 포착되었기 때문입니다. 

이렇게 수집한 거래처 정보를 활용해 기존 거래처를 사칭해서 메일을 보내고 있는 상황이며, 이는 거래처 정보를 수집하여 또 다른 고객사를 상대로 금융정보 탈취 및 거래 계좌번호 변경 유도 등을 통한 범죄를 수행할 수 있기 때문에 각별한 주의가 필요합니다.

사용자가 메일의 엑셀 파일(의뢰_030719_001.xls)을 다운받아 열려고 시도하면 아래와 같이 파일이 손상 되었거나 안전하지 않을 수 있다는 경고 메시지가 팝업 됩니다.

[그림3] 엑셀 파일 경고 창 화면

실제 해당 파일을 열어 보면 다음과 같이, 내용이 손상되어 알아 볼수 없으며 다행히도, 실제 악성 코드는 작동하지 않는 것으로 보여집니다.

[그림4] 내용이 손상된 엑셀 화면

현재까지 확인된 메일에서는 해당 악성 코드를 포함한 xls 파일이 실제 동작하지는 않지만, 공격자가 정상적으로 실행되는 악성 코드가 포함된 송장 메일을 재유포할 가능성이 있으므로, 사용자들의 각별한 주의가 필요합니다.