NEWS

하우리 소식

[주의] ‘코로나19’ 이슈로 위장한 악성코드 유포 주의
2020.03.11

□ 개요


국내 및 전세계적으로 심각하게 발생하고 있는 "코로나19 바이러스" 이슈를 이용한 악성코드들이 지속적으로 증가하면서 사이버 침해 및 감염에 대한 보안 위협을 초래하고 있다. 사용자의 호기심을 자극하여 컴퓨터나 스마트폰에 수신된 메일이나 문자, SNS 메세지 등에 포함된 파일을 실행하거나 링크를 클릭하면 감염될 수 있기 때문에 사용자의 주의가 필요하다.



□ 사례1. 메일을 이용한 악성코드 유포



[그림 1] 국내 악성 스팸 메일



[그림 2] 해외 악성 스팸 메일


메일 내용에는 코로나19 예방수칙 및 대응 관련된 내용을 적어 사용자로 하여금 첨부파일을 받도록 유도하며, 첨부파일에는 주로 정보탈취, RAT, 매크로 악성코드 등이 첨부되어 있다.



[그림 3] 메일에 첨부된 악성파일들



□ 사례2. 엑셀 문서로 위장한 랜섬웨어 유포


파일명이 "Information on Travelers from Wuhan China to India.xlsx.exe"로(이중 확장자) 코로나19 관련 엑셀문서로 위장하고 있으며, 해당 파일의 마지막 확장자가 exe인 실행파일로 실행 시 VBS스크립트파일과 배치파일을 드롭하며, 사용자 PC의 파일을 암호화한다.



[그림 4] 드롭된 파일과 랜섬노트



□ 사례3. 스마트폰 문자메세지를 이용한 악성 앱


스마트폰에 저장된 중요 정보를 탈취하기 위해 SMS 문자메세지를 이용하여 사용자의 호기심을 자극하고 클릭을 유도하도록 제작하여 발송되는 스미싱 문자메세지도 증가하고 있다. [그림 5]는 코로나19 관련 내용과 URL 접속을 유도하는 내용 담고 있다. 해당 URL에 접속하여 악성 앱 설치 시 개인정보 및 금융정보가 탈취된다.



[그림 5] "코로나19 바이러스"를 이용한 악성 스미싱 문자



[그림 6] 설치된 코로나19 악성 앱



□ 사례4. "코로나 실시간 현황" 프로그램으로 위장한 악성코드


스미싱 이외에도 "국내 코로나 실시간 국내 현황" 이라는 코로나19 관련 이름으로 악성코드를 유포해 사용자들을 악성코드에 감염시킨다.



[그림 7] 코로나19 관련 악성코드



□ 사례5. 코로나19 불안심리를 이용한 악성코드


파일명이 "coronavirus.vbs"인 VBS스크립트파일로 실행 시 다음과 같은 질문 창이 발생되며, 질문 내용에는 다운로드 된 악성코드를 지울 수 없다는 장난형식의 내용을 담고 있으며, 특정 키보드 입력을 방해하는 악성행위를 한다.



[그림 8] VBS스크립트가 실행된 화면



□ "코로나19 바이러스" 를 이용한 물리적 바이러스 감염 예방 수칙


1. 발신자나 메일 내용이 의심스러우면 발신자에게 메일 발송여부를 확인한 후 링크나 첨부파일을 열람하자!
2. 스마트폰으로 전송받은 코로나19 관련 문자메세지, SNS 메세지 등에 포함된 링크는 가급적 클릭을 삼가자!
3. 출처가 불명확한 파일 또는 파일명이 이중 확장자이면 실행을 자제하고 백신업체에 신고하자!



□ 바이로봇 업데이트 내역


- EML.Agent
- W97M.Downloader
- Trojan.Win32.Infostealer
- Backdoor.Win32.Nanocore
- Dropper.Agent
- XLS.Exploit



목록