엑셀 첨부파일을 사용해서 랜섬웨어를 유포하는 이메일 소개
엑셀 파일을 첨부해서 랜섬웨어를 유포하는 이메일이 와서 이런 이메일을 조심하라는 목적의 내용 소개입니다.
예전에 왔던 이메일인데 그 당시에 블로그에 올리려고 했다가 깜빡한 자료를 하드 정리 중 찾게 돼서 올립니다.
악성코드, 바이러스, 랜섬웨어 등을 유포하는 여러 방법 중에 실행 파일이나 문서 파일을 이메일에 첨부하고 첨부한 파일을 실행하도록 유도해서 컴퓨터에 공격자가 원하는 명령어를 실행시키는 방법이 지금도 계속 사용이 되고 있습니다.
보통 납부서, 견적서, 급여 명세서, 부품 목록 등의 업무용 이메일인 것처럼 속이거나 경품 당첨, 이벤트 안내 등 사용자가 흥미를 느낄 만한 내용의 이메일을 보내서 첨부파일을 실행하도록 유도를 하는데 첨부된 파일이 실행파일(.exe)인 경우 무조건 다운로드하지 말고 메일 자체를 삭제하는 것이 좋습니다.
엑셀(.xls, .xlsx)이나 워드(.doc) 파일 같은 문서 파일인 경우에도 파일을 열 때 숨겨진 실행이 있을 수 있기 때문에 모르는 사람이 보낸 메일의 경우 다운로드하지 않는 것이 좋습니다.
요즘은 악성코드나 바이러스 유포보다 랜섬웨어를 유포시키는 경우가 많아서 한번 피해가 발생하면 금전적으로나 데이터 적으로나 큰 손해를 볼 수 있으니 모르는 사람이 보낸 이메일은 열어보지 말고 바로 삭제하고 의심되는 이메일은 꼭 최신 보안패치가 되어 있는 컴퓨터에서 백신 프로그램의 실시간 감시가 실행된 상태에서 이메일을 열어보는 것이 좋습니다.
여기서는 엑셀 파일 자체는 바이러스가 없는 일반 엑셀 파일이지만 내용이 외부 다운로드를 유도하는 방식의 랜섬웨어 유포 이메일을 소개합니다.
평범한 이름으로 납부서라는 제목으로 메일이 왔습니다.
그냥 보기에는 업무용 메일인 것처럼 보이지만 업무에 사용하는 이메일 주소도 아니고 보낸 사람도 모르는 사람입니다.
메일을 열어본 화면입니다.
보낸 사람의 메일 주소가 이상한 도메인 주소를 사용하고 있고 내용은 따로 없고 첨부파일로 엑셀 파일이 첨부되어 있어서 잘 아는 사람이 보낸 메일같이 되어 있습니다.
보낸 사람의 메일 주소의 도메인이 이상하면 무조건 첨부파일을 다운로드하지 않는 것이 좋습니다.
도메인이 이상하지만 해외 업무 등의 이유로 진짜 업무 메일로 의심되는 경우 전화나 톡 등을 사용해서 한 번 더 확인하고 확실할 때만 첨부 파일을 다운로드하는 것이 좋습니다.
참고로 공격자가 보낸 주소는 쉽게 변조해서 메일을 보낼 수 있기 때문에 정상적으로 보이는 메일 주소도 가짜일 수 있습니다.
해킹으로 공격자에게 계정을 탈취 당한 계정에서 메일을 보내는 경우도 있기 때문에 아는 사람이라도 갑자기 메일이 온 경우 보낸 사람에게 연락해서 메일을 보낸 게 맞는지 확인해 보는 것이 좋습니다.
첨부 파일을 다운로드해 봤습니다.
윈도우 디펜더에서 해당 파일을 위협으로 판단하고 차단을 시켜버립니다.
발견된 위협의 이름은 'Trojan:Win32/Casdet!rfn'로 나오는데 공격자의 명령어를 실행시키는 트로이 종류라고 되어 있습니다.
공격자가 실행시키는 명령어가 악성코드나 바이러스 실행일 수도 있지만 요즘은 대부분 랜섬웨어 실행입니다.
백신을 정지시키고 엑셀파일을 열어봤습니다.
위에 나온 대로 절대로 따라 해서는 안됩니다.
랜섬웨어를 컴퓨터에 감염시키기 위한 안내라고 보면 됩니다.
이메일을 사용한 랜섬웨어 유포로 지금도 많은 사람들이 피해를 당하고 있습니다.
랜섬웨어에 감염되지 않기 위해서 이메일을 열기 전에 보낸이를 확인하고 첨부파일은 주의해서 실행하는 것이 좋을 거 같습니다.