뱅킹 악성코드 칵봇, 이메일 하이재킹 통해 국내 유포중

 

 

 

 

 

[용어]:

1. WSF 파일: WSF(Windows Script File)파일은 윈도우에서 실행되는 스크립트 파일의 확장자로 사용되며 자바스크립트, VB 스크립트 등 다양한 언어를 지원한다. 출처가 불분명한 수신 메일에 WSF 확장자, JS 확장자 등 스크립트 파일이 첨부되어 있다면, APT 악성코드 이외에도 랜섬웨어 등 다양한 악성코드에 노출될 수 있으므로 사용자의 각별한 주의가 필요하다.

 

2. TMP:

(1) 터미널 모니터 프로그램(terminal monitor program)의 약어.

(2) 시험 유지 보수 프로그램(test and maintenance program)의 약어. 장치가 고장나기 전의 불안정한 상태를 조기에 파악하거나 장치가 고장났을 때 그 원인을 검색하기 위해 장치에 대한 시험용으로 쓰이는 시험 프로그램. 검사 보수 프로그램에는 자동으로 시험이 행해지는 자동시험 프로그램과 보수자가 개재하여 시험을 행하는 수동 시험 프로그램이 있다.

 

3. 바이너리: 본래는 2진수로 표시되는 데이터의 의미지만, 일반적으로 바이너리라고 한다. 텍스트 동의 문자로서의 의미를 가진 데이터에 대하여 프로그램의 동작을 결정하는 것, 또는 일정한 포맷에 따라 기록되는 데이터를 말한다.

 

4. ASEC: AhnLab Security Emergency response Center의 줄임말. 악성코드 분석가 및 보안전문가로 구성된 글로벌 대응조직인 시큐리티대응센터를 통해 빠르고 정확한 정보와 엔진을 제공하는 곳.

 

5. 커맨드: 커맨드(command)는 컴퓨팅에서 명령어를 가리킨다.

 

[기사 선정 이유]: TCP Connection Hijacking에 대해 들어본 적이 있는데 이메일 하이재킹은 어떤 방법으로 이루어지나 궁금했다.

 

[요약]: 칵봇(Qakbot) 악성코드가 기존의 이메일을 회신 및 전달하는 형태로 악성 PDF 파일을 첨부해 유포되는 정황이 확인됐다. 칵봇 악성코드가 유포되는 이메일은 정상 메일을 가로채고 악성 파일을 첨부해 사용자에게 회신한 형태를 띠고 있으며, 수신대상으로는 기존 메일의 수신·참조인 메일주소를 활용했다. 안랩 ASEC 분석팀 관계자는 “최근 이번 칵봇 악성코드와 유사한 포맷으로 다수의 악성 이메일이 유포되고 있다”며 “이메일 사용자는 출처가 불분명한 이메일 열람에 주의해야 하며 사용하고 있는 안티바이러스 제품을 최신 버전으로 업데이트해 사용할 것을 권고한다”고 밝혔다.

 

[느낀 점]: 종강 세미나 발표 주제로 트로이 목마를 선택해서 악성코드에 대해 조금 알게 되었는데, 칵봇이라는 트로이목마를 접하게 되어서 집중해서 읽었던 것 같다. 특히 칵봇 악성코드는 모르는 사람이 보낸 이메일의 형태가 아니라 중간에 메일을 가로채서 보내기 때문에 정상적인 이메일로 보일 수 있어 더욱 위협적인 것 같다. 이처럼 수법이 갈수록 교묘해져 디지털 취약 계층에서는 더욱 피해가 클 것 같다는 생각이 들었다. 보안 교육을 더욱 강조해야 할 시기 같다.

 

[기사 링크]: 뱅킹 악성코드 칵봇, 이메일 하이재킹 통해 국내 유포중 (boannews.com)

https://www.boannews.com/media/view.asp?idx=116995&page=2&kind=1

뱅킹 악성코드 칵봇, 이메일 하이재킹 통해 국내 유포중