최근 법원명령을 위장한 피싱 메일이 유포되고 있어 사용자의 주의가 요구 됩니다.

보안전문업체 ‘이스트 시큐리티’에 따르면 해당 메일은 ‘법원 명령’ 제목으로 유포되고 있고 21년 말에도 유사한 피싱 메일이 유포된 사례가 있음을 확인하였으며 이번에 유포중인 이메일 역시 기존 피싱 메일과 내용, 유포방식 등이 유사한 것으로 보아 동일 공격자 또는 조직의 소행으로 추정 된다고 전하고 있습니다.

피싱 메일은 번역기를 이용한 것 같은 어색한 문구로 작성되어 있으나 실제 로펌 이메일 계정으로 발송되었으며 ‘법원’, ‘법원명령’, ‘판사’ 등의 단어가 본문 내 포함되어 있어 수신자가 해당 이메일을 열람할 가능성이 높습니다.

 [그림] 법원명령 제목으로 유포된 피싱메일 (출처 : 이스트소프트)

[그림] 피싱메일 내 첨부파일 (출처 : 이스트소프트)

해당 메일은 압축 파일을 첨부하고 있으며 사용자가 압축 해제 후 NSIS 인스톨러 기반 .exe 파일을 실행 하게 되면 사용자 디바이스에 악성 행위를 수행하게 됩니다.

[그림] 인스톨러 내부 (출처 : 이스트소프트)

해당 악성 파일은 사용자 정보 탈취 후 공격자의 서버로 해당 데이터를 유출 하는 방식으로 구성되어 있으나 현재 공격자의 서버 접속은 불가한 상태입니다.

만약 서버 접속이 성공하여 악성 코드가 정상 동작하게 되면 탈취된 사용자 정보들이 향후 추가 공격을 위한 정보로 사용될 수 있으며 공격자들이 실제 해킹당한 로펌의 메일 계정을 이용하여 피싱 메일을 유포하고 있어 사용자의 식별이 제한됩니다.

최근 악성 메일 유포가 지속되고 있어 발신자가 불분명한 메일의 열람 및 첨부파일, 링크 실행을 지양하고 백신 프로그램의 실시간 감시를 활성화 하는 등 사용자의 주의가 요구 됩니다.

현재 알약에서는 해당 악성코드에 대해 Trojan.Agent.FormBook로 탐지 및 치료가 가능합니다.