안랩은 법원 판결문을 사칭한 문서로 유포되는 정보 유출 악성코드를 발견했다고 밝히고 주의를 당부했다.

해당 악성코드는 지자체가 코로나19 확산 방지를 위해 불법 방문판매 행위 단속 강화를 발표한 가운데 ‘방문판매법위반 방조’ 법원판결을 사칭한 메일을 통해 유포되고 있으며, 엑셀(.xls 확장자) 문서 형태로 첨부돼 있다.

엑셀 문서를 열면 MS오피스가 악성 매크로 사용을 막기 위해 설정해둔 보안 체계를 사용자가 직접 무력화하도록 ‘편집 사용’ 과 ‘콘텐츠 사용’ 버튼을 누르도록 유도하며, ‘콘텐츠 사용’ 버튼을 누른 뒤 악성 매크로가 실행돼 C&C 서버에서 새로운 문서파일 및 정보유출 악성코드를 다운로드 받는다.

새로운 문서파일은 피고인의 개인정보와 실존하는 변호사 정보가 첨부된 엑셀 문서 형태로, “‘방문판매등에관한법률위반방조’ 라는 죄명으로 벌금 1,500만 원을 납부하라‘는 법원판결 내용이 이미지 형태로 포함돼 있다.

사용자가 두 번째 문서파일의 ‘콘텐츠 사용’ 버튼을 누를 경우 함께 다운로드 된 정보유출 악성코드가 실행되며, 해당 악성코드는 사용자 PC 내 파일 목록, IP 주소 등 PC 정보를 탈취한다. 또한 새로운 악성코드를 내려 받아 실행할 수도 있어 주의가 필요하다.

안랩은 피해를 줄이기 위해 출처가 불분명한 메일의 첨부파일 및 URL을 실행하지 말고, 마찬가지로 출처가 불분명한 문서 파일의 매크로 기능(‘편집 사용’ 및 ‘콘텐츠 사용’ 등) 사용 시 주의를 기울여야 하며, 또한 OS 및 인터넷 브라우저, 오피스 소프트웨어와 백신 프로그램의 최신 패치를 적용하고 보안 수칙을 철저히 지켜야 한다고 밝혔다.