Home > 전체기사

Notepad++ 기본 플러그인 악용한 위키로더 악성코드 유포

입력 : 2024-04-28 20:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
노트패드 패키지 설치 파일에 포함된 기본 플러그인 MIME Tools 악용

[보안뉴스 박은주 기자] ‘Notepad++(이하 노트패드)’ 기본 플러그인 ‘MIME Tools’를 악용해 악성코드를 유포하는 정황이 드러났다. 다양한 언어 지원과 강력한 플러그인 기능이 포함돼 많은 사람이 사용하는 무료 텍스트 편집기인 만큼 악성코드 감염 피해가 우려되는 상황이다.

▲Notepad++의 플러그인 MIME Tools[자료=ASEC]


안랩 시큐리티 인텔리전스 센터(ASEC)에 따르면 악성 파일은 특정 버전 노트패드 패키지 설치 파일에 포함돼 있었다. 노트패드를 실행하면 자동으로 로드되는 점을 악용해 DLL Hijacking 기법을 사용한 것이다. 공격자는 MIME Tools에 암호화된 악성 셸 코드(Shell Code)와 악성코드를 복호화해 실행하는 코드를 추가했다. 또한 MIME Tools 기능을 그대로 구현했다.

▲위키로더 악성코드 흐름 도식도[자료=ASEC]


악성코드가 셸 코드로 복호화해 실행된 이후, BingMaps.dll→GetBingMapsFactory() 함수 내부 코드를 악성 ShellCode로 덮게 된다. 덮어진 셸 코드는 explorer.exe에 침입해 악성행위를 수행한다. 최종적으로 C&C 서버에서 추가 셸 코드를 내려받아 실행하는 방식이다.

▲C2의 외형과 내부 코드[자료=ASEC]


악성코드는 안티바이러스 제품을 우회하기 위해 시스템을 간접적으로 호출하는 Indirect Syscall 기법을 사용했다. 접속되는 C&C 서버는 ASEC 분석 시점에서 워드프레스(WordPress) 로그인 페이지로 확인됐다. 악성코드가 최초 유포됐을 때는 C&C 외형이 위키 사이트로 확인돼 ‘WikiLoader(위키로더)’라는 이름이 지어졌다.

특정 프로그램 플러그인을 통한 악성코드 유포가 빈번하게 발생하고 있다. 특히 크랙 버전을 받거나 출처를 할 수 없는 소프트웨어를 내려받을 때 더욱 위험하다. 이를 예방하기 위해서는 불법 프로그램이나 출처가 불분명한 소프트웨어 등을 설치하는 행위를 지양해야 한다. 또한, 소프트웨어 공식 배포 사이트를 생활화하는 것이 권장된다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)