‘반품 요청’ 메일 위장 주의...악성코드 유포!

최근 온라인 쇼핑몰 판매업체들을 대상으로 배송 상품 파손을 사유로 반품을 요청하는 피싱 메일이 유포되고 있어 사용자 주의가 필요하다.
 
이번에 발견된 피싱 메일은 발신자 명에 ‘환불 또는 반품(상품 파손)‘이라는 문구를 넣어 발송됐다. 메일 본문에는 ‘상세 내용을 첨부했으니 확인해 달라’는 내용으로 첨부파일 열람을 유도한다.

첨부된 파일은 ZIP 형식의 압축 파일로 돼 있다. 내부에는 ALZ 형식의 압축 파일이 들어 있고, 그 안에는 또 다른 ZIP 파일과 EXE 파일이 포함됐다. 이는 공격자가 여러 단계로 다중 압축해 보안 프로그램 탐지를 우회하기 위함이다.

각각의 압축파일에는 ‘배송 당시 상세 사진 및 포장 내외부 배송 정보 포함 기타 사진들. exe’라는 실행파일이 동일하게 존재한다. 해당 파일은 문서파일 아이콘으로 위장돼 있다. 
 
사용자가 해당 실행(EXE) 파일을 문서파일로 오인해 실행하면 악성 행위가 진행되며, 최종적으로는 정보 탈취 형 악성코드인 비달(Vidar) 악성코드에 감염된다.

비달은 MaaS(Malware-as-a-Service) 형태로 운영되는 악성코드다. 감염된 시스템에서 사용자의 웹 브라우저 정보, 암호화폐 지갑 정보 및 FTP 클라이언트 정보 등 다양한 개인 정보와 인증정보를 수집할 수 있다. 뿐만 아니라 텔레그램 채널이나 스팀 커뮤니티에 기록된 공격자 서버(C2) 리스트를 통해 추가적인 명령과 파일들을 다운로드 할 수 있다.

이스트시큐리티는 "사용자는 출처가 불분명한 이메일의 첨부파일 실행을 자제해야 한다"며 "파일 실행 전에는 반드시 확장자를 확인해 'EXE' 와 같은 실행파일은 실행하지 않도록 각별히 주의할 것"을 강조했다.

Related Materials

. 상품 파손 사유 반품 요청? 알고 보니 악성코드 유포 수법 - 뉴시스, 2025.6.7
. Vidar 악성코드, '반품 요청(상품 파손)' 메일로 위장해 유포 중! - 알약 블로그, 2025.6.4
. 반품 요청 메일로 위장한 악성코드 유포 주의, 이스트시큐리티 보도자료, 2025.6.5
. 2024년 4분기 피싱 이메일 통계 보고서 - AhnLab, 2024.12
. 2024년 2분기 피싱 메일 현황... 결제·구매로 주의 끌고, 가짜 페이지로... - 보안뉴스, 2024.6
. 주간 피싱 이메일 유포 사례 (2024/12/22~2024/12/28) - ASEC, 2025.1.7
. 외 피싱(Phishing) 대응 현황 및 시사점 - 한국인터넷진흥원(KISA), 2024
. 2024년 정보 탈취형 악성코드 이메일 84% 증가, 2025년 위험도 더 커질 듯 - 디지털경제뉴스, 2024
. 2024년 국가 지원 위협 행위자의 악성코드 공격 트렌드 - 이글루, 2024