18일 안랩에 따르면 공격자는 ‘코인분실자료.zip’이라는 제목의 압축 파일을 유포했다. 이 파일에는 ‘잃은 코인 찾기.rar’라는 압축 파일과 ‘코인분실신고.docx’라는 제목의 워드 문서 파일이 담겨 있다.
|
이중 압축 파일의 압축을 해제하면, ‘lost.chm’이라는 윈도우 도움말 문서가 나온다. 문제는 이 문서를 실행할 경우 암호화폐 해킹 관련 소송 사례 기사가 나타나는 동시에 사용자 몰래 악성코드가 실행된다는 점이다. 해당 악성코드는 설치 이후 특정 외부 서버에 접속해 추가 악성 파일을 다운로드하는 등 악성 행위를 수행할 수 있다.