상품 파손 사유 반품 요청? 알고 보니 악성코드 유포 수법 작성일 06-07 39 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">EXE 파일을 문서처럼 위장해 사용자 실행 유도…다단계 압축으로 탐지 회피<br>브라우저·암호화폐 지갑·FTP 정보까지 탈취…텔레그램 통해 명령 수신</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="64SzwF7vhS"> <figure class="figure_frm origin_fig" contents-hash="70d8d8569e5f8520ea4c3c6976fd91d5cbb5e0a47d88f0e5c211e03dec7eb364" dmcf-pid="P8vqr3zTTl" dmcf-ptype="figure"> <p class="link_figure"><img alt="피싱 메일(사진=이스트시큐리티 제공) *재판매 및 DB 금지" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202506/07/newsis/20250607093006953vqac.jpg" data-org-width="720" dmcf-mid="8D8kqoc6Sv" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202506/07/newsis/20250607093006953vqac.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 피싱 메일(사진=이스트시큐리티 제공) *재판매 및 DB 금지 </figcaption> </figure> <p contents-hash="fd1a0774e81cf5f0da00e4690475b6ed0f6d4ff8718b748ef2f8cbeaec9bcf40" dmcf-pid="Q6TBm0qyWh" dmcf-ptype="general"><br> [서울=뉴시스]송혜리 기자 = <strong>#최근 귀사에서 배송받은 제품에 이상이 있어 확인 요청드립니다. 해당 건과 관련된 배성 정보 및 제품 상태를 정리한 파일을 함께 첨부드리오니 검토 부탁드립니다. 이에 대해 귀사 측의 적절한 조치를 요청드립니다.<br> </strong><br> 최근 이처럼 온라인 쇼핑몰 판매업체를 대상으로 '상품 파손에 따른 반품 요청' 내용을 담은 이메일이 유포되고 있다. 하지만 이는 실제 반품 요청이 아닌 악성코드를 퍼뜨리기 위한 피싱 메일로 확인돼 주의가 요구된다.</p> <p contents-hash="44c11bdc512539b57684dedb6d77dd4dd5bd7196f34372ff1b07ab4057e40b14" dmcf-pid="xMG2C79HlC" dmcf-ptype="general">이스트시큐리티에 따르면 이번에 확인된 피싱 메일은 '환불 또는 반품(상품 파손)'이라는 제목으로 위장했다. </p> <p contents-hash="e979ceb81854a5e6235f323b46a20930515b0939977ec277d026d90d0f1070ae" dmcf-pid="yWeOfksdvI" dmcf-ptype="general">메일 본문에는 "상세 내용을 첨부했으니 확인해 달라"는 문구와 함께 압축 파일이 첨부돼 있으며 수신자가 이를 열람하도록 유도하는 방식이다.</p> <p contents-hash="effbfc0f5fcbf68e81ba39f2ae01e21a332db0e97eab21358702b5ce32d7d116" dmcf-pid="WYdI4EOJTO" dmcf-ptype="general">메일에 포함된 압축파일(ZIP)을 열면 또 다른 압축파일과 실행파일(EXE)이 여러 단계로 들어 있는 구조다. 이는 보안 프로그램의 탐지를 피하려는 의도로 보인다.</p> <p contents-hash="992725f248962fa45b0e71aa1da4421504e767f379ecb5f11f9ef85f953def2f" dmcf-pid="YGJC8DIihs" dmcf-ptype="general">문제의 실행 파일 이름은 '배송 당시 상세 사진 및 포장 내외부 배송 정보 포함 기타 사진들.exe'로 설정돼 있으며 문서 파일 아이콘으로 위장했다. 수신자가 이를 문서로 착각해 실행할 경우 악성 행위가 본격적으로 시작된다.</p> <p contents-hash="a19039c997f6757cb7b55ddaf847175737020ad0ee3d69a985de5ec52ad0968e" dmcf-pid="GHih6wCnhm" dmcf-ptype="general">최종적으로 실행되는 악성 페이로드는 정보 탈취형 악성코드 비다(Vidar)다. </p> <p contents-hash="9157276b5642f11f837ec905e658a2fe6203b0a2d7410eab44e92ebe33f54a1e" dmcf-pid="HXnlPrhLyr" dmcf-ptype="general">이 악성코드는 감염된 컴퓨터에서 사용자의 웹 브라우저 기록, 암호화폐 지갑 정보, FTP(File Transfer Protocol) 접속 정보 등 다양한 개인정보와 로그인 정보를 몰래 수집한다. 또 텔레그램 채널이나 스팀 커뮤니티에 등록된 해커의 서버와 연결해 추가 명령을 받거나, 다른 악성 파일을 다운로드해 실행할 수도 있어 각별한 주의가 필요하다.</p> <p contents-hash="f789fce2bf812e802e6855d009c4f7a7b0bd1978159ed601dee88cb25922f250" dmcf-pid="XZLSQmlovw" dmcf-ptype="general">비다는 현재 서비스형악성코드(MaaS) 형태로 운영되며 다양한 사이버 범죄자들이 손쉽게 이용할 수 있는 것으로 알려졌다.</p> <p contents-hash="5ece979fa89ede630d72b7c4fb40bb8b8bb336dd7700ed1d685240e7d88a956f" dmcf-pid="Z5ovxsSgWD" dmcf-ptype="general">이스트시큐리티 관계자는 "출처가 불분명한 이메일의 첨부파일은 절대 실행하지 말고, 특히 EXE 형식의 실행파일 여부를 사전에 반드시 확인해야 한다"고 강조했다.</p> <p contents-hash="0e062bf958b1af55376dc5ff5c7f2b9ef79713202d9296b293a68bf833d189ca" dmcf-pid="51gTMOvaSE" dmcf-ptype="general"><span>☞공감언론 뉴시스</span> chewoo@newsis.com </p> </section> </div> <p class="" data-translation="true">Copyright © 뉴시스. 무단전재 및 재배포 금지.</p> 관련자료 이전 ‘굿보이’ 복싱 박보검vs펜싱 이상이, 자존심 건 신경전 06-07 다음 [이재명 시대] '기울어진 운동장' 플랫폼 규제, 네거티브로 전환하나? 06-07 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
