안랩이 무역 거래 관련 내용을 위장한 메일 속 첨부파일을 이용해 악성코드를 유포하는 사례를 발견해 사용자의 주의를 당부했다.

▲ (사진) 무역 거래 위장 메일

공격자는 먼저 인도네시아어로 ‘가격 정보를 부탁드립니다(Mohon Info Harga)’라는 제목으로 메일을 보냈다. 본문에도 인도네시아어로 ‘첨부된 상품 및 배송비 견적을 확인해달라(Mohon di bantu penawaran harga untuk dan ongkos kirim barang seperti terlampir di bawah ini)’며 첨부파일 실행을 유도했다. 첨부된 파일은 MS 파워포인트 프로그램에서 실행 가능한 PPAM 파일(.ppam*)이다.

첨부 파일을 실행하면 ‘Microsoft PowerPoint 보안 알림’ 창이 나타난다. 사용자가 무심코 ‘매크로 포함’ 버튼을 누르면 파일에 포함된 악성 매크로가 작동하며 악성코드가 포함된 웹사이트로 연결(리다이렉션) 된다. 사용자가 이 웹페이지에 접속만 해도 사용자 정보 유출, 추가 악성코드 다운로드 등의 악성행위를 수행하는 악성코드가 다운로드된다. 현재 V3 제품군은 해당 악성코드를 진단하고 있다.

악성코드 피해를 예방하기 위해서는 △출처가 불분명한 메일의 첨부파일 실행 금지 △발신자가 신뢰할 수 있는 사람이나 조직의 이름이더라도 메일 주소 재확인 △출처 불분명한 문서 파일의 ‘콘텐츠 사용’ 또는 ‘매크로 포함’ 버튼 클릭 자제 △최신 버전 백신 사용 등 기본적인 보안 수칙을 지켜야 한다.

안랩 분석팀 장서준 주임연구원은 “7월 말부터 업무 관련 메일에 파워포인트 형식의 파일을 첨부해 악성코드를 유포하는 사례가 지속해서 발견되고 있다”며 “특히 무역 분야 종사자는 외국어로 된 업무 메일을 일상적으로 접하기 때문에 발신자와 메일 주소를 재확인하는 등 더욱 철저한 주의가 필요하다”고 말했다.

한편, PPAM 파일은 사용자 정의 매크로 및 VBA (비주얼 베이직 애플리케이션) 코드 등 특수기능을 저장한 파워포인트 확장자이다.