구직자 울리는 악성코드 조심하세요!

구직자 울리는 악성코드 조심하세요! AhnLab ASEC 분석팀 l 2020-05-13     안랩은 최근 ‘특정 회사의 인력 모집 기준’에 대한 내용을 담은 악성 문서파일의 유포 사례를 발견해 사용자의 주의를 당부했다.     이번 공격은 구직과 관련한 내용으로 사용자들의 접근을 유도하고 있으며, 지난 4월초 발견된 ‘상여금 발급 청구서’로 위장한 공격과 동일한 수법을 사용하고 있다.     [그림 1] 안내 화면을 위장한 단순 그림   이 메일의 첨부된 파일을 클릭하면 편집을 활성화하면 기사 내용을 읽을 수 있다고 안내함으로써 문서 상단의 ‘콘텐츠 사용’을 누르도록 유도한다([그림 1] 참고). 이 화면은 Microsoft에서 제공되는 안내 문구 화면이 보이지만 이는 단순 캡처된 그림 파일로, 해당 그림의 투명도를 조절하여 뒤의 표([그림 2])를 살짝 가린 형태로 문서 내용을 구성하고 있다.   [그림 2] 인력 모집 기준 내용   해당 문서는 실행과 동시에 외부 URL에 접속하여 추가 악성 파일을 내려 받는다. 이러한 과정을 거쳐 최종적으로 CPU가 4개 이상일 경우 특정 네트워크에 접속하여 추가 데이터를 다운로드하는 것으로 알려졌다.   [그림 3] 도용 인증서 및 문서 수정 날짜   이 악성코드는 국내 대형 게임업체의 인증서를 도용하여 정상 파일로 위장하려 했다는 점도 특이점으로 볼 수 있다([그림 3] 참고).   현재 안랩 V3 제품군에서는 이와 같은 악성 문서 파일과 DLL 파일을 다음과 같은 진단명으로 탐지하고 있다.   • Downloader/Xml.Generic (2020.05.07.08) • Dropper/Doc.Generic (2020.05.08.07) • Trojan/Win32.Agent (2020.05.04.05)   해당 악성코드와 유사한 형태의 악성코드가 암호 화폐 거래소, 언론사, 게임업체들을 대상으로 지속 공격하고 있어 사용자들의 주의가 요구된다.   이와 같은 악성코드의 피해를 줄이기 위해서는 ▲출처가 불분명한 메일의 첨부파일/URL 실행금지 ▲OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 오피스 SW등 프로그램 최신 보안 패치 적용 ▲문서파일 내 ‘콘텐츠 사용’ 버튼 클릭 시 주의 ▲백신 최신버전 유지 및 실시간 감시 기능 실행 등 필수 보안 수칙을 실행해야 한다.   해당 악성코드에 대한 상세한 분석 정보는 ASEC 블로그에서 확인할 수 있다.   ▶ ASEC 블로그 바로가기