|
24일 안랩에 따르면 공격자는 인도네시아어로 `가격 정보를 부탁드립니다(Mohon Info Harga)`라는 제목의 메일을 보냈다.
본문에도 인도네시아어로 `첨부된 상품 및 배송비 견적을 확인해달라`는 내용이 담겨 첨부파일 실행을 유도하고 있다. 첨부된 파일은 MS 파워포인트 프로그램에서 실행 가능한 PPAM파일이다.
첨부파일을 실행하면 `마이크로소프트 파워포인트 보안알림` 창이 나타난다. 사용자가 무심코 `매크로 포함` 버튼을 누를 경우 파일에 포함된 악성 매크로가 작동하며 악성코드가 포함된 웹사이트로 연결된다. 사용자가 이 웹페이지에 접속만 해도 사용자 정보유출, 추가 악성코드 다운로드 등의 악성행위를 수행하는 악성코드가 다운로드된다. 현재 V3 제품군은 해당 악성코드를 진단하고 있다.
악성코드 피해를 예방하기 위해서는 △출처가 불분명한 메일의 첨부파일 실행 금지 △발신자가 신뢰할 수 있는 사람이나 조직의 이름이더라도 메일주소 재확인 △출처 불분명한 문서 파일의 `콘텐츠 사용` 또는 `매크로 포함` 버튼 클릭 자제 △최신 버전 백신 사용 등의 보안 수칙을 지켜야한다.
장서준 안랩 분석팀 주임연구원은 “지난 7월 말부터 업무 관련 메일에 파워포인트 형식의 파일을 첨부해 악성코드를 유포하는 사례가 지속적으로 발견되고 있다”며 “특히 무역 분야 종사자의 경우 외국어로 된 업무 메일을 일상적으로 접하기에 발신자와 메일 주소를 재확인하는 등 더욱 철저한 주의가 필요하다”고 당부했다.
