‘로봇이신가요?’ 묻는 메시지로 위장한 악성코드, 주의!

‘로봇이신가요?’ 묻는 메시지로 위장한 악성코드, 주의! AhnLab ASEC대응팀 / 2018-02-21     최근 웹 서비스 이용 시 또는 웹 사이트 아이디/패스워드를 찾을 때 사용자의 본인 여부를 확인하는 ‘캡챠(CAPTCHA)’ 화면으로 위장한 악성코드가 유포돼 사용자의 주의가 요구된다.   캡챠(CAPTCHA, Completely Automated Public Turing test to tell Computers and Humans Apart)는 ‘자동화된 사람과 컴퓨터 판별 기술’이라는 의미다. 웹 서비스에 접근한 사용자가 실제 사람인지 또는 컴퓨터 프로그램, 이른바 봇(Bot)에 의한 접근 시도인지 확인하기 위해 사용한다. 국내에서는 “보안숫자(또는 그림문자)를 입력하세요”라는 메시지와 함께 일그러진 숫자와 글자를 보여준 후 사용자로 하여금 해당 숫자와 글자를 입력하게 하는 방식이 대부분이다. 소셜미디어(SNS) 등의 서비스에서는 무작위의 그림을 보여준 후 특정 질문에 해당되는 그림을 고르게 하는 방식도 있다.     이번에 발견된 캡챠로 위장한 악성코드는 이메일 첨부 파일을 통해 유포되었다. 이메일에 첨부된 PDF 파일을 열면 [그림 1]과 같이 봇 여부를 묻는 캡챠 이미지가 나타난다.   [그림 1] PDF 실행 시 나타나는 캡챠   정상적인 캡차라면 메시지의 체크 박스를 클릭하면 [그림 2]와 같이 무작위의 그림과 질문이 나타난다. 그러나 이 악성코드는 체크 박스를 클릭하면 특정 URL에 접속해 악성코드를 다운로드한다.   [그림 2] 정상적인 캡챠   다운로드되는 악성 파일은 ‘.7z’ 확장자를 가진 압축 파일로, 이 압축 파일 내부에는 7z 파일명과 동일한 vbs 스크립트 파일이 포함되어 있다. 이 스크립트 파일이 특정한 URL에 접근해 PC의 특정한 위치에 악성코드를 다운로드하고 실행시킨다. 이렇게 실행된 악성코드는 악의적인 행위를 수행하기 위해 공격자의 C&C 서버에 접속한다.     V3 제품군에서는 해당 캡챠 악성코드를 다음과 같은 진단명으로 탐지하고 있다.     <V3 제품군 진단명> Trojan/Win32.Dridex VBS/Agent PDF/Phishing   많은 사용자들이 웹 서비스 이용 중에 종종 캡챠를 만나게 되기 때문에 별 다른 의심 없이 캡챠의 메시지를 따르게 된다. 따라서 평소 자주 이용하는 웹 서비스가 아니거나 이번 사례처럼 이메일 첨부 파일과 같이 일반적인 캡챠 방식이 아니라면 각별히 주의하는 것이 바람직하다.