안랩, 윈도 스크립트 파일 첨부한 표적 공격 경고

안랩, 윈도 스크립트 파일 첨부한 표적 공격 경고 전자신문 변상근 기자 / 2018-01-26     안랩이 윈도 스크립트 파일(WSF·Windows Script File) 악성코드를 활용한 표적 공격을 경고했다.   <WSF 파일을 활용한 악성코드 동작방식 <출처 안랩>>   안랩은 지난 18일 고객사에게서 지능형지속위협(APT) 공격 형태 악성코드를 접수받았다고 24일 밝혔다.   안랩에 따르면, 고객사 메일에는 '정보보고.WSF' 파일이 첨부됐다. 메일에 첨부된 WSF 파일을 실행하면 사용자에게 정상 한글 문서를 화면에 보여준다. 그러나 백그라운드에서는 악성코드 유포 서버로부터 악성 DLL을 다운받아 실행한다. 실행된 악성 DLL에는 시스템 정보 유출, 추가 악성코드 다운로드 하는 기능이 있다. 자가복제·자동 실행 레지스트리를 등록하고 명령앤제어(C&C) 서버로부터 추가 악성코드를 다운로드한다.   윈도 스크립트 파일은 윈도에서 실행되는 스크립트 파일 확장자로 사용한다. 자바스크립트, VB 스크립트 등 다양한 언어를 지원한다.   안랩은 윈도 스크립트 파일과 관련해서 표적 공격이 발생했으므로 사용자 주의가 필요하다고 강조했다.   안랩 관계자는 “최근에 특정 사용자를 표적으로 삼은 공격이 발생했다”며 “출처가 불분명한 수신 메일에 WSF 확장자, JS 확장자 등 스크립트 파일이 첨부돼 있으면 APT 악성코드 이외에도 랜섬웨어 등 다양한 악성코드에 노출될 수 있다”고 말했다.