SECURITY

SAFETY

Home > 전체기사

패스워드 파일로 위장한 CHM 및 LNK 악성코드 국내 유포중

| 입력 : 2023-03-12 23:36

암호 설정된 정상 문서와 함께 유포 중... 공격자 의도에 따라 다양한 악성 행위 가능성 커

[보안뉴스 김영명 기자] 최근 CHM과 LNK 형식의 악성코드가 발견됐다. 특히, CHM 형식의 악성코드는 이달 초에 발견된 국내 금융기업 보안 메일을 사칭한 CHM 악성코드와 동일한 유형으로 같은 RedEyes(ScarCruft) 해커조직에서 제작한 것으로 추정된다.

▲압축 파일 내부[자료=안랩 ASEC 분석팀]

안랩 ASEC 분석팀은 패스워드 파일로 위장해 정상 문서 파일과 함께 압축 파일로 유포되는 악성코드를 확인했다고 밝혔다. 해당 유형의 악성코드는 정상 문서 파일을 함께 유포해 사용자가 악성 파일임을 알아채기 어렵다.

CHM과 LNK 파일은 모두 암호가 설정된 정상 문서 파일과 함께 압축돼 유포된 것으로 추정된다. 엑셀 및 한글 파일의 경우 암호가 설정돼 있어 사용자가 암호가 적힌 것으로 보이는 CHM 및 LNK 파일을 실행하도록 유도한다.

▲passwd.chm 실행 시 확인되는 도움말 및 암호 해제 시 보이는 신발.xlsx 문서 내용[자료=안랩 ASEC 분석팀]

먼저, CHM 유형에서는 passwd.chm 또는 Password.chm 실행 시 문서 파일의 암호를 확인할 수 있으며, 내부에 존재하는 악성 스크립트가 실행된다. CHM 파일에서 확인되는 악성 스크립트는 mshta 프로세스를 통해 악성 url에 존재하는 추가 스크립트를 실행한다.

▲CHM 내 악성 스크립트[자료=안랩 ASEC 분석팀]

mshta 프로세스를 통해 실행된 추가 스크립트는 이달 초에 확인됐던 ‘국내 금융기업 보안 메일을 사칭한 CHM 악성코드 : RedEyes(ScarCruft)’에서 공유한 명령어와 동일한 형태다. 실행 시 RUN 키 등록 및 공격자 서버로부터 명령어 수신, 명령 실행 결과 전달의 기능을 수행한다.

두 번째로 LNK 유형에서는 앞서 ‘압축 파일 내부’ 이미지에서 password.txt.lnk 파일이 확인됐다. 해당 LNK 파일을 실행하게 되면 %temp% 폴더에 암호가 적힌 텍스트 파일과 악성 스크립트 파일을 생성한다.

▲암호 해제 시 보이는 개인정보이용동의서.hwp 문서 내용[자료=안랩 ASEC 분석팀]

VBS 파일은 특정 링크에 존재하는 추가 악성 스크립트 실행하는 기능을 수행한다. LNK 유형의 경우 올해 1월에 발견된 원고 청탁서로 위장한 악성코드와 유사하며 동일한 공격 그룹에서 제작한 것으로 추정된다는 게 안랩 ASEC 분석팀의 설명이다.

해당 유형의 악성코드는 공격자의 의도에 따라 다양한 악성 행위가 수행될 수 있다. 또한, 다양한 공격 그룹에서 정상 파일을 함께 유포하는 방식을 사용하고 있어 현재 확인된 CHM과 LNK 파일 외에도 다양한 형식의 악성코드가 존재할 것으로 예상된다.

ASEC 관계자는 “최근 패스워드 파일로 위장하는 등 다양한 형식의 악성코드가 국내 사용자를 대상으로 유포되고 있다”며 “사용자는 수신된 메일을 열람하기 전에는 반드시 발신인을 먼저 확인하고 첨부 파일을 실행할 때도 각별히 주의해야 한다”고 밝혔다.
[김영명 기자(boan@boannews.com)]

가장 많이 본 기사 [주간]

주요 기업별 기사

“
SNS에서도 보안뉴스를 받아보세요!!
”

취약점 경고 및 보안 업데이트

보안ㆍIT산업 동향

조회순
추천순
스크랩순

설문조사

오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
	챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
	챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
	챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
	챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
	보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
	기타(댓글로)

회사소개|
광고안내|
이용약관|
개인정보 처리방침|
청소년 보호정책|
고객센터|
제휴안내|
관련서적|
RSS 서비스|
발행인: 최정식 | 편집인: 최소영 | 청소년보호책임자: 최소영

등록번호 : 서울 아00181 | 등록연월일 : 2006년 3월 17일 | 상호 : (주)더비엔 | 사업자등록번호 : 407-86-00506 | 대표 : 최정식

주소 : 서울시 마포구 마포대로 25 (마포동, 신한디엠빌딩 13층) (우. 04167) | 전화 : 02-719-6933 | 팩스 : 02-715-8245 | E-mail : helpdesk@boannews.com

「열린보도원칙」 당 매체는 독자와 취재원 등 뉴스이용자의 권리 보장을 위해 반론이나 정정보도, 추후보도를 요청할 수 있는 창구를 열어두고 있음을 알려드립니다.
고충처리인 권 준(editor@boannews.com)