코로나19 위장 악성코드 '더 독해졌다'

코로나19 위장 악성코드 ‘더 독해졌다’ AhnLab ASEC 분석팀 l 2020-03-25         전 세계가 코로나19로 인해 고통을 겪고 있는 가운데, 이를 악용하는 사이버 공격도 지능화 양상을 보이고 있어 각별한 주의가 필요하다.   안랩시큐리티대응센터(이하 ASEC)는 지난 24일 블로그를 통해 코로나19와 연관된 악성코드들이 지속적으로 유포되고 있다고 발표했다.   ASEC에 따르면 이들 악성코드는 문서 내용이나 파일 이름 등이 코로나19와 관련되어 있으며, 2월 말부터 현재(3월 24일 기준)까지 다양한 형태로 꾸준히 유포되고 있다고 한다. 특히, 초기 악성코드는 테스트용이나 조크성 파일 등으로 유포된 반면, 최근에는 백도어, 다운로더 등 더 악의적인 형태로 확대되고 있다.   다음은 ASEC이 분석한 코로나19 관련 최신 악성코드에 대한 3가지 사례를 간단하게 소개한다.     코로나19 예방법으로 위장한 악성코드   • 파일명: Medidas Preventivas contra el COVID-19.doc • MD5: 6862a4ed7c8e3341fed411245028b35b • 진단명: W97M/Downloader   해당 문서에는 코로나19 예방과 관련된 주의 사항이 스페인어로 작성되어 있다. 얼핏 보기에는 정상 문서처럼 보이지만 문서의 내부에는 매크로 스크립트가 존재하며, 이를 실행할 경우 악성 행위를 수행한다.   [그림 1]  코로나19 예방법으로 위장한 악성 문서 내부 내용   코로나19와 관련된 매크로 악성코드   • 파일명: Relação de Hotéis e Hospedes - Estado afetado pelo COVID-19   (Novo Corona vírus).pps • MD5: 90e495357a4c9a4bb1e9cab4b9664367 • 진단명: Downloader/Ppt.Generic   해당 악성코드는 코로나19와 관련된 파일명으로 유포되어 사용자의 실행을 유도하는 파워포인트(ppt) 형태의 파일이다. 매크로 코드는 아래와 같으며, 실행시 mshta 를 통해 hxxps://omecanism2.sslblindado.com/coronavirus.mp3 해당 주소의 스크립트(VBS)를 실행하게 된다. 해당 악성코드는 V3 제품군에서 Malware/Win32.RL_SpyGate으로 진단 중이다.   [그림 2] 코로나19와 관련된 문서 내부 악성 매크로   코로나19와 관련된 웜(Worm) 악성코드   • 파일명: Covid 19.lnk • MD5: ba3f0d0603a030fd64f5d15fc14ed34e • 진단명: LNK/Runner   [그림 3] Covid 19 폴더로 위장한 LNK 파일 속성   해당 LNK 파일은 [그림 3]에서 확인할 수 있듯이 폴더 아이콘을 가장하였으며, 더블 클릭 시 인코딩된 VB 스크립트인 Manuel.doc 파일을 실행 후 실제 폴더처럼 보이도록 Covid 19 폴더를 오픈한다. 해당 악성코드는 포빅스(Forbix) 웜 악성코드와 유사하며 실행되는 스크립트에 따라 추가 악성 행위를 수행할 수 있다.   코로나19 등 사회적 관심이 집중되는 이슈를 위장한 악성코드 피해를 예방하기 위해서는 ▲출처가 불분명한 이메일의 첨부파일 실행 자제 ▲운영체제(OS) 및 인터넷 브라우저, 응용 프로그램, 오피스 SW 등 프로그램의 최신 보안 패치 적용 ▲V3의 엔진 버전을 최신 상태로 유지하는 등 기본적인 보안 수칙을 지키는 것이 중요하다.    코로나19 이슈를 위장한 최신 악성코드에 대한 상세한 정보는 ASEC 블로그에서 확인할 수 있다.   ▶ ASEC 블로그 바로가기