보안업체 안랩에 따르면. 이번 악성코드는 부팅 불가를 유발하는 기능은 갖고 있지 않은 것으로 확인되었으며, ‘3.20 APT 공격’ 관련 악성코드와도 무관한 것이나 .‘3월 카드거래내역’이라는 제목의 메일에 첨부파일 형태로 포함되어 있다.
메일은 실제 각각 신용카드회사의 명세서와 구분이 어려울 정도로 유사한 화면으로 악성코드가 포함된 첨부파일을 열도록 유도하고 있다. 이번 악성코드는 특이하게 첨부파일을 열면 특정 정상 보안 프로그램과 함께 설치 및 실행된다. 이는 사용자를 안심시키기 위한 절차로 추정된다.
해당 보안프로그램과 악성코드의 설치가 완료되면 사용자의 개인정보를 입력하도록 유도하는 화면이 등장한다. 분석 당시에는 작동하지 않았지만 개인정보는 해커에게 전송 될 것으로 예상되며, 추가로 중국에 위치한 특정 IP와 통신하며 악성코드 제작자가 내린 임의의 명령을 수행할 수 있는 것으로 확인됐다. V3는 해당 악성코드를 모두 진단 및 치료하고 있다.
사칭 메일의 경우 첫 화면은 통신사가 정기적으로 보내는 메일의 그림을 모방한 경우가 많아 보는 것만으로는 구분이 어렵다. 때문에 원문에 포함된 광고나 해당 통신사의 링크를 클릭해 링크가 올바르게 작동하는지 혹은 다른 사이트로 연결되지는 않는지 확인해보아야 한다.
저작권자 © 데일리경제 무단전재 및 재배포 금지
