학술대회가 곳곳에서 열리는 가운데 논문 등 관련 파일을 사칭한 악성코드가 등장했다. 감염 시 정보가 유출되고 추가 공격에 노출된다.
안랩 시큐리티대응센터(ASEC)는 최근 이같은 공격을 포착하고 이용자 주의를 당부했다. 공격자는 '2020 OOO(학회 이름) 초전도 논문', '학술대회' 등 제목으로 악성 한글 파일을 유포했다.
이용자가 보안 패치를 하지 않은 한글 프로그램으로 파일을 실행하면 악성코드에 감염된다. 파일은 내용이 없는 빈 문서지만, 실행 즉시 악성코드에 감염된다. 파일을 닫더라도 감염될 수 있다.
악성코드는 공격자 명령제어(C2) 서버와 통신하면서 추가 악성코드를 내려받고 실행한다. 다운로드 폴더 목록, 문서 폴더 목록을 비롯해 바탕화면 목록, 설치 프로그램 목록, 인터넷 프로토콜(IP) 주소 등 이용자 개인용 컴퓨터(PC) 정보를 탈취한다. 공격자 설정에 따라 원격제어, 랜섬웨어 등 다양한 악성코드도 추가할 수 있다.
이 악성 파일 유포지에선 '네이버 블로그 소송건'이라는 또 다른 악성 파일도 유포 중이다. ASEC 분석 결과 두 파일 간 C2 서버와 인터넷 주소(URL) 등 주요 기능이 동일했다. 공격자는 다양한 파일명으로 악성코드를 유포하며 백신 진단을 우회하기 위해 스크립트 내부에 공백을 추가하거나 변수명을 바꾸는 수법을 썼다.
김준석 안랩 분석팀 연구원은 “공격자는 이용자를 유인하기 위해 시기적으로 관심이 높은 키워드를 자주 활용한다”면서 “이용자는 출처가 불분명한 파일은 내려받지 말고 실행 전 백신을 이용해 검사하는 것이 좋다”고 말했다.
피해를 줄이려면 △운용체계(OS)와 인터넷 브라우저, 오피스 소프트웨어(SW) 최신 보안 패치 적용 △문서파일, 실행파일 등 출처가 불분명한 파일 다운로드, 실행 금지 △최신 백신 유지와 실시간 감시 기능 실행 등 보안 수칙을 따라야 한다.
오다인기자 ohdain@etnews.com
