보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

견적·구매 문의에다 대북관련 질의서까지... 요즘 메일은 악성코드 ‘지뢰밭’

  |  입력 : 2021-04-12 18:03
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
최근 정보 유출 악성코드 ‘스네이크 키로거(Snake Keylogger)’ 스팸메일 통해 유포
대북관련 질의서로 위장한 악성 한글 파일도 유포...수신 메일 확인시 각별한 주의 필요


[보안뉴스 권 준 기자] 최근 견적·구매 관련 문의 메일로 위장한 악성코드 ‘스네이크 키로거(Snake Keylogger)’ 유포가 급증하고 있는 것으로 드러났다. 이와 함께 대북관련 질의서가 담긴 한글문서가 국가지원 해커조직으로부터 유포되는 등 현재 수신 메일 상당수에 악성코드가 포함된 ‘지뢰밭’ 형국이 되고 있다.

▲견적·구매 관련 문의 메일로 위장한 Snake Keylogger 포함 악성 메일[자료=안랩 ASEC 분석팀]


보안전문 업체 안랩 ASEC 분석팀에 따르면 최근 스팸 메일을 통해 유포되고 있는 Snake Keylogger는 닷넷으로 만들어진 정보 유출 악성코드로써, ASEC 분석팀에서 매주 집계하는 주간 통계에서도 Top 5 순위에 꾸준히 포함되고 있는 것으로 드러났다.

▲4월 1주차 주간 악성코드 통계[자료=안랩 ASEC 분석팀]


Snake Keylogger는 주로 스팸 메일을 통해 유포되는 정보 유출 악성코드라는 점에서 근래 가장 많이 유포되고 있는 ‘AgentTesla’ 악성코드와 유사한 점이 많은 것으로 분석됐다. Snake Keylogger도 AgentTesla처럼 메일 즉 SMTP 프로토콜을 이용한 정보 유출 기능을 지원한다. 악성코드를 첨부한 스팸 메일을 통해 유포되는 악성코드들로는 AgentTesla 외에도 Lokibot, Formbook, AveMaria, Remcos 같은 인포스틸러(정보탈취) 및 RAT 악성코드들이 있다.

해당 악성코드는 전형적인 견적·구매 관련 메일로 위장한 것들이 대다수다. 더욱이 Snake Keylogger 등과 같은 닷넷 악성코드들은 빌더를 이용해 생성된 악성코드에 대한 파일 진단을 회피하고, 또한 분석을 방해하기 위한 목적으로 난독화를 수행한다는 게 안랩 ASEC분석팀의 설명이다.

Snake Keylogger의 경우 지난해 말부터 유포가 확인됐지만, 그 이전 2020년 중순경부터 유포되고 있던 Matiex Keylogger와 거의 동일한 형태로 알려졌다. 기능 및 루틴, 함수명들 대부분이 동일하며 단지 난독화된 함수명에서 Snake 문자열 대신 Matiex가 사용되는 점이 차이점이라고 할 수 있다.

Snake Keylogger 또는 Matiex Keylogger는 수십 여 가지의 웹 브라우저 및 이메일 클라이언트, 그리고 FTP 클라이언트 등 다양한 프로그램들의 사용자 계정정보를 탈취할 수 있다. 이외에도 스크린샷, 클립보드, 마이크, 키로깅 기능을 활성화해 주기적으로 사용자의 개인정보를 전송받을 수 있다. 함수 이름은 최근 코로나 바이러스의 흐름에 맞춰 ‘COVID’ 키워드를 붙인 것이 특징이다.

해당 악성코드가 개인정보를 공격자에게 전달하는 방식도 다양하다. 현재 유포되고 있는 악성코드들을 보면 대부분 SMTP 즉 메일을 이용해 탈취한 정보를 공격자에게 전달하지만, Snake Keylogger는 SMTP 외에도 FTP, 텔레그램(Telegram), 디스코드(Discord)와 같은 4가지 옵션이 제공되는 것으로 알려졌다. 그럼에도 대부분은 스팸 메일을 통해 유포되고 있어 사용자들은 의심스러운 메일을 받게 된다면 첨부파일 실행을 지양해야 한다.

▲대북관련 질의서로 위장한 악성 한글파일 본문 내용[자료=안랩 ASEC 분석팀]


한편, 얼마 전에는 대북관련 질의서 내용의 악성코드가 한글문서(HWP) 형태로 유포되고 있는 정황도 안랩 ASEC 분석팀에 의해 포착됐다.

한글문서 내용은 국내 방송사에서 2020년 12월 15일 북한관련 토론 질문지로 사용된 문서가 악성코드 제작자에 의해 수정된 것으로 보인다. 이번에 발견된 악성 한글 파일은 이전에도 공유된 적이 있는 기법인 ‘링크 개체’를 포함하고 있는데, 개체를 삽입한 경로정보(C:\Users\Snow\AppData\Local\Temp)를 통해 ‘Snow’라는 이름의 컴퓨터 네임을 갖는 시스템에서 해당 문서가 제작된 것으로 추정된다는 게 ASEC 분석팀의 설명이다.

이와 관련 안랩 ASEC 분석팀은 “최근 대북과 관련된 문서 내용을 포함하고 있는 다양한 문서류가 유포 중이므로 북한 관련 업무를 수행하는 사용자 뿐만 아니라 대북관련 질의서를 위장한 문서에 속아 피해에 노출되지 않도록 모든 사용자들의 주의가 필요하다”고 강조했다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북