피싱 메일은 악성코드를 감염시키는 가장 손쉬운 방법 중 하나다.
얼마 전 경찰청을 사칭하는 이메일을 통해 “너 고소당했어”를 시전하며 고소장으로 가장한 악성코드 첨부파일이 포함된 피싱메일을 받았다는 포스트를 올린적이 있다. ( 보러가기)
해커들이 피싱메일을 무작위로 뿌려대는 목적은 시기에 따라 시시각각 변한다.
초창기에는 특정 웹사이트(대기업 또는 포탈, 공공기관 등)를 목표로 해커 대신 DDOS공격을 해줄 좀비PC를 확보하기 위한 경우가 많았다. 따라서 피싱메일에는 첨부파일로 가장한 DDOS 공격도구가 담겨져 있었다.
하지만 시대가 변하면서 피싱메일에는 PC의 운영체제와 파일을 파괴하는 악성코드가 담기기도 했고 최근에는 파일들을 마구 암호화해버리는 랜섬웨어가 담겨있기도 한다. 때로는 PC를 모니터링하고 검색해 개인정보나 사적인 사진이나 동영상 등을 탈취하는 프로그램을 배포하기도 한다.
피싱메일의 내용도 자주 변화한다. 지인을 사칭하기도 하고 때로는 법원을, 때로는 경찰청을 사칭하기도 한다.
그런데 어제 또 새로운 기법의 피싱메일을 받았다. 요즘 기승을 부린다는 “저작권 침해” 관련 피싱메일이다.
어디에서 수집했는지는 모르겠지만 현재 운영중인 개인도메인에 부여해 사용하는 1개의 메일주소로 보내왔다. 내용은 블로그에 자기가 만든 캐릭터 이미지를 무단으로 사용했고 이는 저작권 법률에 위배된다는 내용이다. 하지만 어떤 포스트인지는 알려주지 않는다. (당연하겠지… 무단으로 사용한 이미지는 없으니까…)
그리고는 마치 너그럽게 용서해주겠다는 투로 지우고 다음부터는 사용하지 말란다. 그러더니 저작권 위반한 화면의 캡처라는 듯 사진파일을 첨부하니 열어보고 조치해달라고 한다. 그냥 URL을 알려주면 편할텐데 말이다.
느낌이 쎄~~해서 첨부파일인 “원본이미지.egg” 파일을 다운로드 받아 저장하고 샌드박스를 통해 열어보았다.
음.. 이미지 파일인 jpeg 확장자의 파일이 보인다. 그런데 오른쪽 파일종류에 “응용 프로그램”으로 표시된다.
즉 이 jpeg 파일은 실행파일이다. 이는 Windows에서 표시해주지 못하는 Unicode를 이용해 확장자를 속이도록 파일이름을 설정한 JPEG로 위장한 EXE 파일이다.
따라서 이런 파일은 그냥 삭제해야 한다.
이 파일의 압축 해제를 시도해봤다. 당연히 샌드박스 내에서 실행했다.
PC에 설치되어 있는 백신에서 트로이목마로 분류되는 악성코드로 탐지한다.
듣지도 보지도 못한 사람이 무작정 파일을 보내고 열어보길 요구한다면 절대, 결코 파일을 클릭하거나 열어보지 않도록 주의해야 한다.