본문 바로가기
기원테크/이메일보안

"이메일 첨부파일 함부로 열지 마세요", 악성코드 '칵봇' 주의

by 기원테크Kiwontech 2023. 6. 2.

안녕하세요 기원테크 입니다

날씨가 많이 더워졌네요!

이번엔 어떤 보안 이슈가 기다리고 있을까요?

악성코드

메일을 보내면 답장받는 게 인지상정!

첨부파일 또한 열람하기 마련인데요

해커들은 이러한 사람의 심리를 이용하여

첨부파일에 악성코드를 보낸다고 합니다.

 

오늘은 첨부파일을 이용한 악성코드들이

어떤 위협들이 있고 어떻게 대처해야 좋을지 소개해 드리겠습니다!

 

"이메일 첨부파일 함부로 열지 마세요"
https://biz.sbs.co.kr/article/20000113476

출처 불분명한 파일

먼저 '칵봇'에 대해 설명드리겠습니다!

칵봇(Qakbot)은 은행 자격 증명, 윈도우 도메인 자격 증명을 훔치고

랜섬웨어를 설치하는 해커에게

원격 접속을 허용해 주는 윈도우 악성코드 중 하나입니다.

 

보안회사 '안랩'에 따르면 악성코드인 칵봇이

'이메일 하이재킹' 수법을 통해 사용자들에게 유포되고 있다고 하네요

어떤 피해 사례들이 있었는지 함께 알아볼까요?

칵봇 피해
악성 PDF가 첨부된 메일 (출처=안랩)

이번에 발견된 칵봇 유포 수법은

기존에 수신된 정상 메일을 가로채 본문에

악성 PDF 파일을 첨부한 다음

사용자에게 회신하거나 전달하는 방식입니다.

 

해커는 전달된 이메일의 내용이 이전 내용들과

연관성은 떨어지지만, 수신자가 첨부된 PDF 파일을 열어보도록 유도한다고 하네요!

 

원노트 악용 악성코드 유포..."출처 불분명한 파일 열지 마세요"
https://zdnet.co.kr/view/?no=20230428115451

칵봇 피해
이메일에 첨부된 PDF 파일 실행 화면 (출처=ASEC)

또한 최근에는 원노트로 칵봇 악성코드가 유포되고 있습니다.

'안랩' ASEC 분석팀에 따르면

원노트 파일 실행 시, 마이크로소프트 애저(Azure) 이미지와 함께

'OPEN' 버튼을 클릭하도록 유도합니다.

해당 버튼 위치에는 악성 파일이 숨어있어

사용자가 오픈 버튼을 클릭할 경우 악성 URL로 연결이 되고

'Password : 755'를 이용해 zip 파일을 해제할 수 있습니다.

 

패스워드까지 이용하다니 정말 믿을 수밖에 없을 것 같아요!

다운로드파일
PDF 내부 URL에서 다운로드 되는 압축파일 (출처=ASEC)

악성 파일 내에는 도움말 파일(CHM)이 있으며,

*README 파일로 위장해 사용자의 실행을 유도합니다.

CHM 파일 실행 시, 네트워크 연결 구성과 관련된

정상적인 도움말 화면이 생성돼

사용자는 악성 행위임을 인지하지 못한다고 하네요

 

* 리드미(README) 파일 : 디렉터리나 압축 파일에 포함된 기타 파일에 대한 정보를 포함, 일반적으로 컴퓨터 소프트웨어와 함께 배포

 

쉽게 무시할 수 없는 첨부파일...

어떻게 대처해야 할까요?

 

패턴 검사의 한계를 극복한 능동형 검사
ReceiveGUARD(리시브가드)로 첨부파일 악성코드를 방지하세요!

해결책

리시브가드

'리시브가드'는 3단계 악성 메일 분석 검사를 통해

패턴이 없는 신종 바이러스를 검출할 수 있습니다!

 

백신 프로그램으로 패턴 바이러스를 검출,

CUBE에서 직접 열어보고 시스템에 대한 위험 행위를 찾아내어

패턴이 없는 신종 바이러스를 능동적으로 선제 대응합니다.

리시브가드

또한 '리시브가드'는 행위 기반 검사를 실행하여

첨부파일 또는 URL 악성코드 검출 시

이미지로 변환하여 사용자에게 안전하게 전달하고 있습니다!

 

이와 같은 기능을 통해

EG-Platform(이지플랫폼)의 ReceiveGUARD(리시브가드)는 동적 패턴 검사로

첨부파일과 URL을 안전하게 전달해 드릴 수 있습니다!

공격자들은 다양한 포맷의 파일을

공격에 활용하고 있습니다.

사용자들도 이에 맞서 출처가 불분명한 이메일을

열람하는 것에 대한 주의가 필요할 것 같습니다!

리시브가드

더 많은 메일 보안 소식이 궁금하다면?

EG-Platform(이지플랫폼) : https://eg-platform.com/ 

공식홈페이지 : https://www.kiwontech.com/ 

"기원테크" 카카오톡 채널 링크 : https://pf.kakao.com/_PWFNK 

더 많은 소식을 "기원테크" 카카오톡 채널로 받아보세요!

기원테크 카카오톡

저작자표시 비영리 변경금지 (새창열림)

'기원테크 > 이메일보안' 카테고리의 다른 글

클라우드도 안심할 수 없다, 기원테크 이지플랫폼으로 랜섬웨어 검사  (0) 2023.06.07
"항공권 결제가 완료됐습니다"...'피싱 메일', 기원테크 리시브가드로 방지하세요  (0) 2023.06.05
서울대병원 개인정보 유출 사건, 해결책은? 기원테크 리시브가드(ReceiveGUARD)로  (1) 2023.06.05
정보 유출을 막는 발신 메일 관리 솔루션, SGUARD(에스가드)  (0) 2023.06.02
조직의 보안을 위협하는 이메일 사기 공격, 어떻게 대응해야 할까?  (0) 2023.06.01

관련글

티스토리툴바