[디지털데일리 백지영기자] 안랩(대표 강석균)은 24일 무역 거래 관련 내용을 위장한 메일 속 첨부파일을 이용해 악성코드를 유포하는 사례를 발견했다며 사용자의 주의를 당부했다.
안랩에 따르면, 공격자는 먼저 인도네시아어로 ‘가격 정보를 부탁드립니다(Mohon Info Harga)’라는 제목으로 메일을 보냈다. 본문에도 인도네시아어로 ‘첨부된 상품 및 배송비 견적을 확인해달라’며 첨부파일 실행을 유도했다.
첨부된 파일은 마이크로소프트(MS) 파워포인트 프로그램에서 실행 가능한 PPAM파일(.ppam*)이다.첨부 파일을 실행하면 ‘MS 파워포인트 보안알림’ 창이 나타난다. 사용자가 무심코 ‘매크로 포함’ 버튼을 누를 경우 파일에 포함된 악성 매크로가 작동하며 악성코드가 포함된 웹사이트로 연결된다.
안랩은 “사용자가 이 웹페이지에 접속만 해도 사용자 정보유출, 추가 악성코드 다운로드 등의 악성행위를 수행하는 악성코드가 다운로드된다”고 설명했다. 현재 안랩 V3 제품군은 해당 악성코드를 진단하고 있다.
안랩 분석팀 장서준 주임연구원은 “7월 말부터 업무 관련 메일에 파워포인트 형식의 파일을 첨부해 악성코드를 유포하는 사례가 지속적으로 발견되고 있다”며 “특히 무역 분야 종사자의 경우 외국어로 된 업무 메일을 일상적으로 접하기 때문에 발신자와 메일 주소를 재확인 하는 등 더욱 철저한 주의가 필요하다”고 조언했다.