공격자는 사용자들의 의심을 피하기 위해 실존하는 대학 부설 기관을 사칭한뒤, 해당 기관이 실제로 개최했던 외교 관련 가짜 세미나 초대장 파일 내부에 악성코드를 숨겼다.
해당 파일은 실행파일(확장자명: .scr)이다. 아이콘을 그림파일용 아이콘으로 바꾸고, 악성행위 실행과 동시에 초대장으로 꾸민 그림파일을 사용자에게 보여주기 때문에 피해자는 해당 파일이 정상 동작하는 것으로 오인하기 쉽다.
이 악성코드를 실행하면 특정 IP(C&C서버)로 감염 PC의 정보를 전송한다. 이후에 동일 IP에서 특정 명령을 받아 수행하는 ‘백도어’ 역할을 할 것으로 추정된다. 백도어가 설치되면 공격자의 목적에 따라 다양한 악성코드 추가 설치 및 실행이 가능하므로 사용자의 주의가 필요하다. V3 제품군은 해당 악성코드를 진단하고 있다.
이 같은 피해를 줄이기 위해서는 ▲스팸성 메일/첨부파일 실행 금지 ▲파일 실행 전 파일 확장자 반드시 확인 ▲백신 프로그램 최신버전 유지 및 주기적 검사 등 보안 수칙을 실행해야 한다.
안랩 ASEC대응팀 박태환 팀장은 “사용자가 속기 쉬운 문서나 그림 파일로 위장 악성코드는 꾸준히 발견되고 있다”며 “이러한 악성코드는 중요 정보 유출 및 APT 공격의 경로가 될 가능성도 있어 사용자의 각별한 주의가 필요하다”고 말했다. editor@itworld.co.kr