'00모바일에서 전송했습니다.'
휴대폰에서 전송한 메일로 위장한 악성코드가 대량 유포돼 사용자 주의가 필요하다. 이스트시큐리티(대표 정상원) 시큐리티대응센터(ESRC)는 모바일 기기에서 보낸 내용으로 가장한 악성코드를 발견했다. 해당 메일에 인보이스라는 엑셀(xls)이 첨부됐다. 엑셀파일을 열면 악성코드에 감염된다. 공격자가 사용자 PC를 원격제어할 수 있다.
메일 내용에 모바일 기기에서 전송했다는 메시지만 있어 사용자가 첨부파일을 열어보도록 유도한다. 문종현 ESRC 센터장은 “이번 공격은 국내 유포가 대량 이뤄져 피해 규모가 상당할 것으로 예측된다”면서 “사용자 심리를 노려 모바일 메일로 위장한 것으로 보인다. 코드에서 일부 모바일 관련 내용을 발견했지만, 실제로 공격자가 불편함을 감수하면서 모바일 기기로 악성메일을 뿌렸을지는 의문”이라고 말했다.
이번 공격은 엑셀 DDE(Dynamic Data Exchange) 기능을 악용했다. DDE는 윈도 운용체계(OS)에서 오피스 등 응용프로그램 간 데이터 전송에 사용되는 프로토콜이다. 사용자가 메일에 첨부된 엑셀파일을 내려 받아 실행하면 악성코드 설치파일을 사용자 PC로 내려 받는다.
최종 페이로드인 'wsus.exe'는 원격제어 악성코드다. 공격자가 사용자 PC에 명령어 실행, 사용자 정보 수집, 권한 상승 등 기능을 수행한다. 악성코드는 상업용 원격제어 프로그램 '애미어드민(Ammyy Admin)'의 유출된 소스코드를 기반으로 제작됐다.
팽동현기자 paing@etnews.com
