최근 견적서 요청 건으로 위장한 ‘Lokibot’ 악성코드가 유포되고 있어 사용자의 주의가 요구 됩니다. 이에 관련내용을 안내 드리니 아래 내용을 확인하시어 사용자 단말의 보안강화 부탁드립니다.

보안 전문 업체 ‘안랩’에 따르면 최근 견적서 요청 피싱 메일의 첨부파일을 통해 ‘Lokibot’ 악성코드가 유포되고 있는 것으로 확인하였습니다. 해당 악성코드는 수 년 전부터 지속적으로 유포되고 있으며 악성코드 통계에서도 상위 순위에 포함되어 있습니다.

이번에 확인된 악성코드는 CAB/LZH를 이용한 압축 파일을 이용하는 점이 특징으로 각 파일의 일반적 특성은 아래와 같습니다.

1. 확장자 .cab : 마이크로소프트 윈도우 네이티브 파일 압축 포맷

2. 확장자 .lzh : 프리웨어 압축 프로그램 및 파일형식 포맷

[그림1] 악성메일 내 첨부파일을 통해 유포되는 CAB/LZH 형태의 Lokibot 악성코드 (안랩 제공)

해당 메일의 본문 내용은 간단하지만 발신인을 비롯한 회사 이름이 국내에 실제로 존재하기 때문에 사용자가 의심 없이 첨부파일을 실행 할 가능성이 있습니다.

[그림2] 작업스케줄러에 등록된 자가복제파일 실행 스케줄 (안랩 제공)

첨부파일 실행 시 인포스틸러(정보탈취) 유형의 악성코드가 활성화 되며 파일을 자가복제하여 해당 파일을 윈도우 스케줄러에 등록하고 웹 브라우저와 FTP 계정정보 및 설정파일을 탈취하여 C2 서버로 전송하는 전형적인 정보 탈취 행위를 보입니다.

이러한 사회공학적 기법을 통해 지속적으로 악성코드가 유포되고 있으므로 발신자가 불분명 하거나 의심스러운 첨부파일이 포함된 경우 해당 메일 열람을 지양하고 백신 및 응용프로그램의 최신 업데이트를 수행하는 등 사용자의 주의가 필요합니다.

※ 해당 악성코드는 교내 알약 백신을 통해 탐지 및 치료가 가능합니다.