상세 컨텐츠

본문 제목

[주의] '포털 ID 거래 계약서'로 위장한 악성코드 유포 중!

POST

by ESTsoft 2021. 3. 5. 10:55

본문


안녕하세요? 오늘은 국내 유명 포털 서비스의 ID 거래 계약서로 사칭한 해킹 공격이 발견되어, 각별한 주의를 당부드리고자 관련 소식 전해드립니다.

이번 공격은 2중 확장자명으로 조작된 문서 파일을 활용하고 있기 때문에, 사용자가 정상적인 문서 파일로 착각하고 악성 파일을 확인할 가능성이 높은데요! 지금부터 이스트시큐리티 대응센터(ESRC)가 해당 공격에 대해 분석한 내용을 자세히 소개드리겠습니다.


먼저 이번 공격은 '2중 확장자명 위장 수법'을 활용한 것이 큰 특징입니다. 바로 윈도 OS에서 ‘확장자명 숨김 처리’가 기본으로 설정되어있는 점을 악용했는데요!

실제 ESRC가 발견한 악성 파일명은 
‘2021-03-03 N사 비실명 ID GOLD님 거래 계약서 완료본.hwp.scr’으로, 윈도 기본 설정을 사용하는 사용자의 PC에서는 2중 확장자명으로 숨겨진 실제 첨부파일 확장자 실행파일(.exe), 화면보호기(.scr)가 보이지 않고, ‘2021-03-03 N사 비실명 ID GOLD님 거래 계약서 완료본.hwp’ 등 정상적인 문서 파일로 보이게 됩니다.

이러한 이유로 
숨겨진 파일 확장자를 인지하지 못하고, 정상 문서로 착각해 파일을 열어볼 가능성이 높은데요! 이때 파일을 열게 되면 추가 악성코드 다운로드, PC에 저장된 자료와 개인정보 유출 등 잠재적인 해킹 피해로 이어져 각별한 주의가 요구됩니다.

 

 

악성 파일 작동 시 보여지는 계약서 화면 (출처=이스트시큐리티)

 


ESRC에 따르면 작년 말에도 이와 유사한 형태의 공격이 다수 발견되었고, 새롭게 발견된 공격에서는 
공격자가 추가 악성코드 배포를 준비한 정황을 포착했다고 합니다. 현재 ESRC는 이번 공격을 백신 프로그램 '알약(ALYac)'에 'Trojan.MSIL.Bladabindi' 탐지명 등으로 추가했으며, 한국인터넷진흥원(KISA)와 후속 대응 조치를 진행하고 있는데요!

또한, 이번 공격에서 주의깊게 봐야할 점은 '게임 메신저'로 많이 알려진
 유명 채팅 서비스 '디스코드(Discord)'의 파일 저장소가 또 다른 추가 악성 파일 배포 목적의 경유지로 악용되었다는 내용입니다.

공격자는 디스코드 CDN 경로에 정상 hwp 문서와 닷넷 오픈 소스 기반 ‘AsyncRAT’ 악성 에이전트 파일을 연결해, 사용자 컴퓨터에 ‘Microsoft.exe’ 파일명으로 실행되도록 만들었습니다. ‘AsyncRAT’ 위협에 노출될 경우, 공격자는 원격제어 권한 획득을 통해 사용자 PC의 화면 녹화와 키보드 입력 내용 탈취 등 대부분의 기능 통제가 가능해지는데요!

 

 

디스코드 파일 저장소가 유포지로 설정된 화면 (출처=이스트시큐리티)

 


이번 공격에 대해 이스트시큐리티 ESRC센터장 문종현 이사는 “이용자들의 
단순 호기심 유발과 사회적으로 관심이 높은 키워드를 적절히 구사하는 이른바 사회공학적 해킹 공격은 여전히 유효하다”며, “고전적인 2중 확장자 방식의 단순 속임수 수법이 여전히 성행하고 있고 실제 감염까지 성공시키는 경우도 있어, 이메일이나 메신저 등으로 전달받은 파일의 확장자는 항상 눈여겨 볼 필요가 있다”고 주의를 당부했습니다.

파일 확장자명을 확인할 수 있도록 윈도 폴더 옵션을 변경하고, 아이콘과 확장자를 꼼꼼히 살펴보는 보안 습관이 중요해지고 있습니다! 새롭게 받은 파일에 접근할 때는 항상 조심하는 습관으로, 보안 위협으로부터 PC와 스마트폰을 안전하게 지키세요~

 

 

 

[함께 읽어 보면 더욱 유용한 포스팅]

 

다가오는 2021년 예상 보안이슈 TOP 5

[BY 이스트소프트] 안녕하세요, 오늘은 다가오는 새해를 맞아 2021년 발생할 것으로 예상되는 주요 보안...

m.post.naver.com

 

관련글 더보기

댓글 영역