최신 보안 동향

[주의]신용카드 허위 정지 내용으로 전파 중인 악성 이메일

TACHYON & ISARC 2011. 7. 26. 13:29
1. 개 요


 최근 신용카드 중단 내용으로 위장한 악성 이메일이 다양한 형태로 국내에 전파되고 있어 각별한 주의가 요망되고 있다. 해당 악성 이메일은 해외에서 제작된 것이지만 국내에도 이메일을 통해서 다수 유입된 것으로 확인되고 있으며, 이메일의 조작된 내용이 "신용 카드 사용 정지 안내 메일" 등으로 위장되어 있어 일반 신용카드 사용자의 경우 별다른 의심없이 이메일 열람 및 첨부파일 다운로드로 악성파일에 감염될 가능성이 있다.
  

2. 감염 경로

이러한 악성 이메일은 인터넷 사용중 개인 이메일 계정 정보 유출 등으로 인해 수신될 수 있으며, 내부의 첨부파일 형태로 포함되어 있는 실제 악성파일은 이메일 외에도 SNS, 인스턴스 메신저 등의 링크 접속 등으로 다운로드될 수 있다.

아래의 그림은 실제로 수신된 관련 이메일에 대한 화면이다.


◆ 유사한 악성 이메일

 

 

※ 메일 본문 내용

제목 : Your credit card has been blocked

Dear User,
ATTENTION : Your credit card is blocked!
With your credit card was removed $ 586,96
Possibly illegal operation!
More info in the attached file.
Immediately contact your bank.
Best wishes, VISA CUSTOMER SERVICES.

첨부파일 : sample.exe

제목 : MASTER CARD TEAM 03

Dear Consumer,
Your credit card is blocked!
Your credit card was withdrawn $ 5107,94
Possibly illegal operation!
More information in the attached file.
Instantly contact your bank.
Best Wishes, MASTER CARD Team.

첨부파일 : fedex78123.exe


위 메일의 본문 내용을 자세히 살펴보면 카드 사용 정지에 대해 자세한 내용 확인을 위해 첨부파일에 대한 다운로드 및 실행을 유도하고 있다. 

해당 악성 이메일들은 아래의 그림과 같은 파일들을 첨부파일로 포함하고 있을 수 있다.

 


위와 같은 첨부파일들은 파일명이 유동적으로 바뀔 수 있다. 보통 이러한 악성 이메일에 첨부된 파일은 허위 백신에 대한 설치본인 경우가 대부분이며, 현재 첨부파일에 대한 정밀분석이 진행중에 있다.

3. 예방 조치 방법

위와 같이 사회공학 기법을 사용해 악성파일을 유포할 경우 대부분의 일반 사용자들은 악성 여부를 육안상으로 판결하기가 쉽지 않다. 때문에 이러한 악성파일로 부터 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일의 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. SNS, 인스턴트 메신저 등을 통해 접근이 가능한 링크 접속시 주의를 기울인다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성파일에 대해 아래의 그림과 같은 진단/치료 기능을 제공하고 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

◆ 진단명 현황

- Trojan/W32.Agent.81408.MM
- Trojan/W32.Agent.79872.KV
- Trojan/W32.Agent.67584.OP