첨부파일 위협 유형 통계.

---

• 2026년 3월 첨부파일 기반 위협 중 트로이목마가 21%로 최다를 차지했다.
• 피싱(FakePage)은 15%로 집계되었으며 전월 대비 비중이 42%에서 15%로 대폭 감소했으나 유포 수량은 소폭 감소했다.
• 다운로더는 9%, 드로퍼는 7%로 확인되었다.
• 트로이목마는 이중 확장자 및 정상 파일명을 가장해 실행을 유도하며 지속적으로 변종이 유포된다.
• 피싱은 HTML 스크립트와 PDF 하이퍼링크로 로그인 정보를 탈취하거나 가짜 사이트로 연결한다.

첨부파일 확장자 통계.

---

• 스크립트 카테고리에서는 HTML이 14%, JS가 11%로 높게 나타났다.
• 압축 파일 중 ZIP이 14%, RAR 8%, 7Z 5% 등으로 집계되었다.
• 문서 파일에서는 PDF가 13%, XLS 5%, DOCX 2%로 조사되었다.
• 전월 대비 Script 유형 악성코드의 유포 수량이 대폭 증가했고, Trojan 유포량은 소폭 증가했다.
• Dropper 및 Downloader는 소폭 감소했으며 Compress와 Document 유형은 소폭 증가했다.

한글로 유포된 피싱 이메일 목록.

---

• FedEx, DHL, 하나은행 등 택배·금융·세금계산서 사칭 이메일이 다수 탐지되었다.
• Script 유형 사례에서는 우리은행 사칭으로 피싱 페이지에 로그인 정보 입력을 유도했고, C2로 Telegram API 호출 토큰이 사용되었다.
• Document 유형 사례에서는 산업용 장비 공급업체를 위장해 PDF 실행으로 RemcosRAT 유포 및 정보 탈취가 발생했고, C2는 controller.airdns.org:45177으로 확인되었다.
• Compress 유형 사례에서는 섬유 수출기업을 사칭해 압축 해제 후 실행을 유도하며 AgentTesla가 유포되었고, C2로 외부 메일서버 및 의심 주소가 사용되었다.

IoC (Indicators of Compromise).

---

• 수집된 악성코드 파일 중 상위 30개 MD5 해시 목록이 제공되었다.
• 관련 C2와 토큰 사례로 Telegram API 호출, controller.airdns.org:45177, ccp11nl.hyperhost.ua:587 등이 확인되었다.
• 보고서는 HTML 기반 피싱, 문서·압축 파일을 이용한 실행 유도 및 원격 제어형 악성코드 유포 추세를 종합적으로 제시한다.

MD5

06dc18771404694814d6a430bb65d1a3

0a15c9a545fbf78d77f8c130a3b0f840

0a18f61e8d8e9873cdda4b3b6785d7ad

0d15bf48b73de307eff29f07a6e6d55b

0e9bd0c9991b21b13eddb518dee0eecf