느닷없이 날아온 협의이혼 신청서, 알고보니…
등록 2023.03.16 06:00:00수정 2023.03.16 06:43:31
원격 조종 악성코드 '콰사르RAT' 이혼 협의 서류 파일로 유포
워드 파일이지만 한글 파일 형식하고 있으며, 클릭 시 악성 파일 자동으로 내려받아
【서울=뉴시스】송혜리 기자 = "협의 이혼 의사 신청서 확인 부탁합니다."
'협의 이혼 의사 확인 신청서'로 위장한 악성코드가 유포되고 있어 각별한 주의가 요구된다.
16일 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면, 이 회사는 원격 조종 악성코드 콰사르RAT가 워드 파일로 위장돼 유포되고 있는 정황을 포착했다.
콰사르 RAT는 사용자 계정 및 사용자 환경 정보 수집이 가능하며, 원격으로 코드실행과 파일 업·다운로드 등 추가 악성 행위가 가능하다. PC에 저장된 개인정보 뿐만 아니라 원격으로 원하지 않는 악성 소프트웨어가 설치돼, 좀비PC가 될 수 있다.
이번에 ESRC가 수집한 콰사르RAT 유포 샘플은 '협의 이혼 의사 확인 신청서'란 워드 파일로 위장하고 있다. 이 파일은 워드 파일이지만 한글 파일(.hwp) 형식로 보여지는 것이 특징이다. ESRC는 공격자들이 법원 전자민원센터에서 제공되는 한글 파일을 워드 파일로 저장해 이번 공격 미끼(디코이) 파일로 사용했기 때문이라고 분석했다.
'콘텐츠 사용' 버튼 클릭 후 보이는 페이지(좌) 및 정상 파일(우) *재판매 및 DB 금지
사용자가 파일을 실행하면 '콘텐츠 사용' 버튼 클릭을 유도하며, 이 콘텐츠 사용 버튼을 누르면 '협의 이혼 의사 확인신청서' 양식을 보여주며 정상 파일인 것처럼 작동된다.
하지만 백그라운드에서는 워드 파일에 포함된 매크로가 자동 실행된다. 매크로가 실행되면 공격자가 미리 설정해 놓은 명령 및 제어(c2)에 접속되고, '버전(version).ini'이란 이름의 악성 파일이 저장되고 실행된다.
'버전.ini' 파일은 버전.ini, runps.vbs, conf.ps1 등 세 가지 파일을 생성하고 실행하는데, 이 파일들은 사용자의 PC를 장악하고 공격자가 지정해 놓은 추가 악성 파일을 내려받는다. 이후 몇 차례 c2 접속 및 파일 다운로드를 반복 후 최종적으로 최종적으로 콰사르RAT을 실행한다.
ESRC는 "의심스러운 파일들의 실행을 지양해 주길 바란다"면서 "백신 설치를 통해 안전한 PC 환경을 만들기 바란다"고 당부했다.
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
