해커들, 가짜 배송 이메일 공격에서 스크린세이버 파일로 위장한 악성 코드 사용

사이버 보안 회사 Symantec은 아시아, 유럽, 미국의 다양한 산업을 대상으로 한 피싱 캠페인을 발견했습니다. 가짜 배송 이메일과 위장된 스크린세이버 파일을 사용해 피해자들에게 악성 소프트웨어를 감염시킵니다.

공격자들은 대형 타이완 화물 및 물류 회사인 척 하여, 진짜 배송 업데이트처럼 보이는 중국어로 작성된 피싱 이메일을 보냅니다. 이메일의 제목에는 4월 7일에 고웨이에서 애틀랜타로의 관세 통관에 대한 자세한 배송 정보가 포함되어 있습니다.

수령인들은 이후에 ISF, 포장 목록, 청구서 등의 배송 문서를 검증하도록 요청받습니다. 그 안에는 윈도우 스크린세이버(.SCR)로 위장된 악성 파일이 있습니다. 이를 클릭하면 ModiLoader라는 악성 프로그램 로더가 조용히 설치됩니다.

GBHackers는 ModiLoader가 원격 접근 도구와 정보 훔치기 악성 프로그램을 다운로드하고 설치하는 알려진 위협이라고 지적했습니다. Symantec은 이를 사용해서 Remcos, Agent Tesla, MassLogger, AsyncRAT 그리고 Formbook과 같은 악성 프로그램을 설치하는 데에 사용된 적이 있다고 보고했습니다.

“그들이 무해해 보일지라도, 그들은 사실상 다른 파일 확장자를 가진 실행 가능한 프로그램입니다. 한번 실행되면, 이 파일들은 일반적인 실행 파일이 할 수 있는 모든 행동을 수행할 수 있습니다—로더, 백도어, 키로거, 랜섬웨어 설치와 같은 것들 말이죠. 오늘날까지도, 그들은 공격 체인에서 많이 사용되고 있습니다.”라고 Symantec은 경고했습니다.

이 캠페인은 자동차, 전자, 출판, 방송, 제조 등 여러 분야에 영향을 미쳤으며, 피해자들은 일본, 영국, 스웨덴, 미국, 홍콩, 대만, 태국, 말레이시아와 같은 국가에 거주하고 있습니다.

Symantec은 머신 러닝, 파일 스캔, 이메일 필터링 및 Carbon Black 엔드포인트 보안을 포함한 다양한 보호 기능을 사용하여 이 위협과 싸우고 있습니다. 이 맬웨어는 Trojan.Gen.MBT 및 Scr.Malcode!gen19 등 다양한 이름으로 표시되었습니다.

전문가들은 기업들에게 의심스러운 이메일에 대해 직원들을 교육하도록 촉구하고 있습니다.