회사 IT 관리자가 보낸 메일로 위장한 악성코드 스팸 확산

회사 IT 관리자가 보낸 Outlook Web Access(이하 아웃룩) 보안 업그레이드로 위장한 악성코드 스팸이 확산되고 있어 아웃룩을 이용하는 PC 사용자들의 주의가 필요하다.

이스트소프트(대표 김장중, www.estsoft.co.kr)는 지난 8일 이후로 아웃룩 보안 업그레이드를 가장한 악성코드 스팸<그림1>이 확산되고 있으며, 스팸 메일을 통해 연결되는 피싱 페이지<그림2>에서 악성코드를 보안패치 파일로 속여 사용자로 하여금 다운로드를 받게 하고 PC를 감염시킨다고 12일 경고했다.

또한 감염된 PC는 추가적인 악성코드를 다운로드하거나 인터넷 뱅킹에 사용되는 금융 거래 정보를 유출한다고 밝혔다.

<그림 1. 회사 IT 관리자를 위장해 아웃룩(OWA) 보안 업그레이드를 권고하는 스팸 메일>





▲ <그림2. 그림1의 스팸메일의 링크를 클릭하면 악성코드를 다운로드 받는 피싱 페이지가 나타남>




현재 많은 국내 기업들이 메일 서버로 마이크로소프트의 '익스체인지 서버'를 사용하고 있고, 익스체인지 서버 기반에서 웹브라우저를 통해 동작하는 아웃룩 또한 널리 사용되고 있기 때문에, 아웃룩 보안 업그레이드를 위장한 이번 악성코드 스팸을 통해 주로 기업의 PC 사용자에게 피해가 발생할 것으로 예측되고 있다.

실제로 이스트소프트 내의 스팸메일 수집 서버에서도 8일 이후 약 300통 이상의 관련 악성코드 스팸이 수집되어, 국내외 다른 기업에서도 이와 비슷한 수준 혹은 더 많은 스팸을 받았을 것으로 추정되고 있다.

스팸을 통해 연결되는 피싱 페이지에서 다운로드 되는 S.SPY.Zbot.mg(진단명) 악성코드는 Zbot 계열의 변종으로 윈도우 방화벽 기능 중지, 추가적인 악성코드 다운로드, 그리고 신용카드 번호와 인터넷 뱅킹의 계정 같은 금융 정보들을 유출하는 특징을 가지고 있다.

만약 기업 내의 PC 사용자들은 <그림1>과 같은 의심스러운 내용의 메일을 받는다면, 받은 메일을 즉시 삭제하고, 알약의 DB 업데이트를 최신으로 유지하고 실시간 감시 기능을 활성화하여 악성코드로 인한 피해를 사전에 예방해야 한다.

이스트소프트의 알약보안대응팀 박정철 팀장은 "이번 악성코드 스팸의 경우 국내에서도 많이 사용되는 아웃룩의 보안 업그레이드로 속여 유포되고 있으며, 또한 회사 IT 관리자가 보낸 것처럼 위장하고 있기 때문에 국내 기업의 피해가 우려된다"며, "PC 사용자들은 감염된 PC를 꼭 치료하고 스팸메일의 링크를 무심코 클릭해서는 안 된다"고 강조했다.
저작권자 © 아이티데일리 무단전재 및 재배포 금지