포털 사이트 계정 거래 문서 사칭 악성 파일, 디스코드 통해 국내 유포 중

입력 : 2021-03-04 10:23

2중 확장자, 호기심 유발 소재 등 고전적인 방법이지만, 여전히 피해 발생하고 있어
새로 받은 파일에 접근할 때는 항상 의심하고 조심하는 자세 필요

[보안뉴스 이상우 기자] 음성채팅 메신저 서비스 ‘디스코드’를 통해 국내 포털 서비스 아이디 거래 계약서로 사칭한 해킹 공격이 수행되고 있어, 사용자의 각별한 주의가 필요하다. 해당 파일은 2중 확장자를 사용하고, 파일을 받은 사람이 호기심을 끌 만한 소재를 사용하고 있다.


이스트시큐리티 시큐리티대응센터(이하 ESRC)가 새롭게 발견한 이번 공격은 ‘2021-03-03 N사 비실명 ID GOLD님 거래 계약서 완료본.hwp.scr’이라는 이름의 파일을 통해 이뤄지고 있으며, 해당 파일은 국내에 은밀히 유포 중이다. 이 같은 공격은 파일 확장자가 정상적인 문서 파일로 보이지만, 실제로는 엑셀(.XLS), 한글(.HWP) 등 문서 확장자 뒤 실행 파일(.EXE), 화면보호기(.SCR)와 같은 숨겨진 확장자가 존재하는 전형적인 2중 확장자명 위장 수법을 사용하고 있다. 2중 확장자명 위장 수법은 윈도 운영체제(OS)가 ‘확장자명 숨김 처리’를 기본 설정으로 되어있는 점을 악용한 것이다.

윈도 기본 설정을 사용하는 사용자의 PC에서는 2중 확장자명으로 조작된 첨부 파일의 확장자인 EXE, SCR 등이 나타나지 않기 때문에 공격자가 파일 아이콘까지 위조한다면 정상적인 문서 파일로 오인할 가능성이 크다.

만약 숨겨진 파일 확장자를 인지하지 못하고 정상 문서로 착각해 파일을 열어볼 경우, 추가 악성코드 다운로드, PC에 저장된 자료와 개인정보 유출 등 잠재적인 해킹 피해로 이어질 수 있다. 실제로 새롭게 발견된 공격에서도 공격자가 추가 악성코드 배포를 준비한 정황이 발견되었다.

ESRC는 지난해 말에도 △전체회원정보 및 비밀번호포함_xls(4).scr △관리정산 및 모든자료_xls(3).scr △거래안내_및_가격표_신청안내_xls3.exe 등의 파일명으로 유사한 형태의 공격을 발견했으며, 이러한 유형은 현재도 지속적으로 발견되고 있다고 설명했다.

또한 ESRC는 “이번 공격에 사용된 악성 파일의 경우 해외 상용 난독화 제품인 ‘Crypto Obfuscator’ 도구로 닷넷 함수를 암호화해, 코드 분석 방해와 백신 탐지 우회 등 내부 기능을 쉽게 파악하지 못하도록 제작되었다”며, “ESRC에서 악성 파일의 난독화 기능을 해제해 코드 내부를 상세히 분석한 결과, 유명 채팅 서비스인 디스코드(Discord)의 파일 저장소가 또 다른 추가 악성 파일 배포 목적의 경유지로 악용된 것으로 나타났다”고 말했다.

공격자는 디스코드 CDN 경로에 정상 hwp 문서와 닷넷 오픈 소스 기반 ‘AsyncRAT’ 악성 에이전트 파일을 연결했고, 사용자 컴퓨터에 ‘Microsoft.exe’ 파일명으로 실행되도록 만들었다. ‘AsyncRAT’ 위협에 노출될 경우, 공격자는 원격제어 권한 획득을 통해 사용자 PC의 화면 녹화와 키보드 입력 내용 탈취 등 대부분의 기능 통제가 가능해진다.

ESRC센터장 문종현 이사는 “고전적인 2중 확장자 방식의 단순 속임수 수법이 여전히 성행하고 있고 실제 감염까지 성공시키는 경우도 있어, 이메일이나 메신저 등으로 전달받은 파일의 확장자는 항상 눈여겨 볼 필요가 있다”며, “파일 확장자명을 확인 할 수 있도록 윈도 폴더 옵션을 변경하고, 아이콘과 확장자를 꼼꼼히 살펴보고 접근하는 보안 습관이 중요하다”고 당부했다. 또한, “이용자들의 단순 호기심 유발과 사회적으로 관심이 높은 키워드를 적절히 구사하는 이른바 사회공학적 해킹 공격은 여전히 유효하다”며, “누구든 새로 받은 파일에 접근할 때는 항상 의심하고 조심하는 자세가 필요하다”고 덧붙였다.

한편, 이스트시큐리티는 새롭게 발견된 악성 파일을 백신 프로그램 알약(ALYac)에 ‘Trojan.MSIL.Bladabindi’ 탐지명 등으로 긴급 추가하였으며, 후속 대응 조치를 한국인터넷진흥원(KISA)과 긴밀하게 진행하고 있다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

이상우기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  [SKT 해킹 사태] 유심 재설정 12일 도...

• 2

  ‘KISA알림.pdf.lnk’ 뜨면, 클릭 ...

• 3

  [이슈칼럼] SKT 해킹 사건, 정보 유출보...

• 4

  [대한민국 상장기업 리포트-3] AI 통합보...

• 5

  명품 브랜드 디올, “해킹으로 고객 정보 유...

• 1

  AI 장착 초강력 ‘악성 봇’, 여행 산업 ...

• 2

  [이슈칼럼] SKT 해킹 사건, 정보 유출보...

• 3

  CJ올리브네트웍스 디지털 인증서 北에 털렸다...

• 4

  포티넷, QKD·PQC로 양자컴 위협 대응

• 5

  ‘KISA알림.pdf.lnk’ 뜨면, 클릭 ...

• 1

  [이슈칼럼] SKT 유심 해킹 사건이 일깨운...

• 2

  삼성도 당했다...‘디지털 사이니지’ 해커 ...

• 3

  마이데이터 전송 이렇게...개인정보위, 개인...

• 4

  [배종찬의 보안 빅데이터] ‘유심 해킹’ S...

• 5

  [2025 개인정보보호 솔루션 리포트] SK...