※ GULoader 란 추가 악성코드를 다운로드 하는 다운로더 형태의 악성코드로 다운로드 주소로 ‘구글 드라이브’ 가 자주 사용되어 명명

보안 전문업체 ‘이스트 시큐리티’에 따르면 최근 이메일을 통해 GULoader (다운로더 형태의 악성코드)가 유포되고 있는 정황이 식별되어 사용자의 주의가 요구 됩니다.

이번에 확인된 메일은 사서함 오작동으로 인해 원격 서버에 보류중인 메시지가 존재한다는 내용과 함께 ‘받은 편지함에 배달되지 않은 이메일 릴리즈’ 버튼의 클릭을 유도 합니다.

[그림] 악성코드 유포 메일(좌) 와 오피스365 스팸알림 메일(우) 비교

사용자가 해당 버튼을 클릭하면 피싱 페이지로 사용자를 유도하여 계정 정보를 탈취하는 일반 피싱 메일과 달리 해당 메일의 경우 .ACE 확장자를 가진 파일을 다운로드 합니다.

해당 확장자는 많이 사용되지 않는 압축 파일 확장자로 파일 내에는 전송되지 않은 이메일로 위장한 .SCR 파일이 포함되어 있으며 사용자가 해당 파일을 실행하면 GULoader 유형의 악성 코드가 실행됩니다.

[그림] .SCR 파일

실행된 악성코드는 추가 코드 다운로드 및 공격자 서버로부터 추가 정보를 다운로드 하여 사용자 단말에 로드하며 파일리스 형태의 최종 악성코드를 실행하여 정보탈취, 명령제어 기능을 수행하게 됩니다.

해당 이메일의 경우 사용자가 오피스365 서비스에서 정상 발송 되는 ‘스팸 알림’ 메일과 혼동 할 수 있어 반드시 발신자의 주소를 확인해야 하며 메일에 포함된 링크를 통해 접속되는 페이지 또는 첨부 파일에 대해서 반드시 주의를 기울여야 합니다.

해당 악성코드는 교내 설치된 알약 백신을 통해 Trojan.Agent.GuLoader 로 탐지 및 치료가 가능합니다.