최근 한글로 작성된 '긴급제작 의뢰 요청' 및 '견적 요청' 메일로 사칭한 악성 메일이 다수 유포되고 있습니다.

[그림 1] '긴급제작의뢰 요청자료목록'이라는 제목으로 유포중인 악성메일 본문

[그림 2-1] '견적 요청의 건'이라는 제목으로 유포중인 악성메일 본문

[그림 2-2] '견적요청드립니다'라는 제목으로 유포중인 악성메일 본문

'긴급제작 의뢰 요청' 메일 및 '견적 요청'의 경우 직접 Cab형식의 압축파일을 메일에 첨부하는 경우도 있지만, 다음 대용량 파일 링크에 악성코드가 포함된 압축파일을 업로드하여 배포하는 케이스 역시 다수 확인되고 있는 상황입니다.

메일에 작성된 발신자 정보는 실제 존재하는 회사를 사칭하여 작성된 것이 확인되었으며, 기업 담당자들을 타깃으로 발송되는 것으로 추정됩니다. 

만약 메일 수신자가 메일 내 첨부파일 또는 대용량 파일 링크를 클릭하고 악성코드를 다운로드&실행한다면 Formbook 등 감염된 PC에서 스크린샷 화면, host파일 정보, 브라우저 정보 등의 주요 정보를 탈취하는 악성코드에 감염되므로 주의가 필요합니다. 

특히 인터넷브라우저 상에 저장되어 있는 로그인 계정 정보 등의 민감한 정보가 탈취되므로, 이후 탈취된 계정 정보를 악용한 2차 공격이 발생할 가능성이 높아지므로 출처가 불분명한 이메일의 첨부 파일 확인을 지양하며 백신의 최신화 및 정기적인 검사를 습관화하여야 합니다.

알약에서는 해당 악성코드에 대해 Trojan.Agent.Wacatac / Trojan.Agent.Vebzenpak 으로 탐지/차단하고 있습니다.