DocuSign - 법무팀 문서 이메일 사기

예상치 못한 이메일은 특히 긴급성을 강조하고 신뢰할 수 있는 브랜드에서 온 것처럼 보일 때 심각한 사이버 보안 위험을 초래할 수 있습니다. 사이버 범죄자들은 사기성 메시지를 그럴듯하게 보이도록 위장하기 위해 유명 기업을 악용하는 경우가 많습니다. 'DocuSign - 법무팀 문서' 이메일 사기가 바로 그러한 사례입니다. 이러한 이메일은 DocuSign이나 그 어떤 합법적인 회사, 기관, 단체와도 관련이 없습니다. 오히려 악성코드를 유포하기 위해 설계된 악의적인 스팸 캠페인의 일부입니다.

가짜 법률 문서 요청

사이버 보안 연구원들은 이러한 이메일을 분석한 결과 수신자가 악성 소프트웨어를 다운로드하도록 유도하는 악성 스팸 메시지임을 확인했습니다. 이메일은 일반적으로 '공급망 규제 신고 ID#SCR-392847'이라는 제목으로 발송되며, DocuSign 법무팀에서 보낸 것처럼 위장합니다.

해당 메시지에 따르면 전자 서명을 위한 문서가 발송되었으며 3일 이내에 검토해야 합니다. 정당성을 강화하기 위해 이메일에는 눈에 띄는 '문서 검토' 버튼이 있고 보안 코드가 포함된 '대체 서명 방법'이 제공됩니다. 이러한 요소들은 요청이 진짜처럼 보이도록 세심하게 구성되었습니다.

DocuSign은 합법적인 전자 서명 플랫폼이지만, 이 캠페인과는 아무런 관련이 없습니다. 또한 발신자의 이메일 주소는 DocuSign 자체 도메인이 아닌, 관련 없는 제3자 도메인에서 온 것입니다.

이메일의 진짜 목적

이 사기의 궁극적인 목표는 수신자가 악성 ISO 디스크 이미지 파일을 다운로드하도록 유도하는 것입니다. 피해자가 제공된 버튼을 클릭하든 다른 지침을 따르든, 악성 파일을 다운로드하게 됩니다.

ISO 파일은 Windows에서 가상 드라이브로 직접 마운트할 수 있어 사이버 범죄자들에게 매력적인 도구가 됩니다. 공격자들은 보안 필터를 우회하여 악성 첨부 파일을 차단하지 못하는 경우가 있기 때문에 이 형식을 자주 사용합니다.

ISO 파일이 마운트되면 다음과 같은 이름의 실행 파일 하나가 나타납니다.

'NDA_Agreement_X7K9P2Q4R8V3M5N1Z6.DOC.vmp.exe'

파일 이름은 의도적으로 기만적입니다. '.DOC' 확장자는 마치 무해한 마이크로소프트 워드 문서처럼 보이게 하기 위한 것입니다. 하지만 실제로는 마지막 '.exe' 확장자가 이 파일이 피해자의 컴퓨터에서 코드를 실행할 수 있는 실행 프로그램임을 나타냅니다.

파일을 열면 어떤 일이 발생하나요?

이번 공격을 통해 유포된 악성코드의 정확한 종류는 아직 확실하게 밝혀지지 않았습니다. 하지만 해당 파일은 랜섬웨어, 뱅킹 트로이목마, 자격 증명 탈취 프로그램, 키로거, 원격 접속 트로이목마(RAT) 또는 기타 악성 소프트웨어를 포함한 다양한 위험한 위협을 설치할 수 있습니다.

잠재적 결과는 다음과 같습니다.

• 사용자 이름, 비밀번호 및 금융 정보 도난
• 개인정보 도용, 금전적 손실, 무단 시스템 접근 및 데이터 암호화

해당 악성코드의 기능이 아직 알려지지 않았으므로, 실행 파일과의 모든 상호 작용은 심각한 보안 사고로 간주해야 합니다.

사기임을 드러내는 경고 신호

메시지의 내용이 그럴듯해 보이지만, 여러 정황으로 보아 사기일 가능성이 높습니다. 이메일은 문서 검토 기한을 3일로 제시하며 긴급성을 강조하고 있습니다. 또한, 법적 소송 식별 번호를 언급하여 중요성을 부각하고 수신자가 요청 내용을 검증하지 않고 신속하게 조치를 취하도록 압박합니다.

DocuSign과 같은 신뢰할 수 있는 브랜드 이름을 이용하는 것 또한 흔히 사용되는 사회공학적 수법입니다. 사이버 범죄자들은 사용자들이 친숙한 서비스를 더 신뢰하는 경향이 있다는 것을 알고 있으며, 특히 메시지가 전문적으로 보이고 인증 코드나 서명 지침과 같은 세부 정보가 포함되어 있을 때 더욱 그렇습니다.

이 이메일을 받으셨다면 어떻게 해야 할까요?

수신자는 해당 메시지와 어떠한 방식으로도 상호 작용해서는 안 됩니다. 가장 안전한 방법은 이메일을 즉시 삭제하고 첨부 파일을 열거나 링크를 클릭하거나 파일을 다운로드하거나 메시지에 포함된 지침을 따르지 않는 것입니다.

해당 파일을 이미 다운로드했거나 실행한 사용자는 가능한 한 빨리 해당 기기를 네트워크에서 분리하고 신뢰할 수 있는 안티바이러스 또는 엔드포인트 보안 소프트웨어를 사용하여 철저한 검사를 수행해야 합니다. 특히 민감한 계정이 노출되었을 가능성이 있는 경우, 유출되었을 가능성이 있는 모든 비밀번호는 안전한 기기에서 변경해야 합니다.

스팸 캠페인이 악성 소프트웨어를 확산시키는 방법

DocuSign을 사칭한 이번 캠페인은 사이버 범죄의 광범위한 추세를 보여주는 한 예일 뿐입니다. 악성 스팸 이메일은 멀웨어를 유포하는 가장 흔한 방법 중 하나로 남아 있습니다. 공격자들은 악성 콘텐츠를 청구서, 법적 고지, 배송 업데이트, 계정 알림 또는 업무 문서로 위장하는 수법을 흔히 사용합니다.

일반적인 악성코드 유포 형식으로는 ZIP 및 RAR 압축 파일, 실행 파일, PDF 문서, Microsoft Office 파일, 스크립트, ISO 및 IMG 파일과 같은 디스크 이미지 형식이 있습니다. 일부 악성 파일은 열리는 즉시 감염 과정을 시작하는 반면, 다른 파일은 매크로 활성화, 압축 해제 또는 내장 실행 파일 실행과 같은 추가 사용자 작업을 필요로 합니다.

마지막으로

'DocuSign - 법무팀 문서' 이메일 사기는 사이버 범죄자들이 신뢰할 수 있는 브랜드를 사칭하고, 법률 관련 내용을 암시하며, 인위적인 긴급성을 조성하여 피해자를 악성 소프트웨어 실행으로 유도하는 수법을 보여줍니다. 이 메시지는 겉보기에는 진짜처럼 보이지만, 실제 목적은 시스템을 감염시키고 중요한 정보를 유출하는 것입니다. 특히 즉각적인 조치나 파일 다운로드를 요구하는 스팸 메일에 대해서는 신중한 태도를 유지하는 것이 이러한 위협에 대한 가장 효과적인 방어책 중 하나입니다.