분실된 암호화폐 복구 사칭 악성 메일 사례

작년 말까지만 하더라도 비트코인을 포함해서 여러 코인들이 모두 강세를 보였는데, 올해 초부터 심각한 물가 상승과 미국의 급격한 금리 인상 정책으로 인해 모든 암호화폐들이 약세를 보이고 있습니다. 사실 가치를 평가할 수 있는 주식에 비해서 단순히 코인 개발자들의 소식이나 미국 연준의 정책에 의해 너무 가격 변동이 심하기도 했지만, 이렇게 여러 암호화폐들의 인기가 하늘을 치솟으면서 해커들의 주요 공격 대상이 되었는데요. 랜섬웨어를 감염시켜서 암호화폐로 송금을 유도한다던지, 암호화폐 거래소를 사칭해서 피싱 메일을 보내는 방식으로 말이죠. 오늘 설명드릴 사례도 암호화폐를 복구해준다는 내용의 악성 메일인데 이 부분에 대해 간단히 말씀드려보겠습니다.

​

이번에 소개할 악성 메일은 암호화폐 분실과 관련해서 도움말 파일로 위장했습니다. 사실 해커가 정확히 무엇을 의도하고 악성 메일을 보낸 것인지 정확히는 모르겠지만, 최근 심스와핑 사건이나 계정을 도용 당해서 가지고 있던 코인들을 탈취당한 사람들을 타겟으로 해서 보낸 메일인듯 싶은데요. 여기서 조금 재밌게 보실 점은 메일에 '코인분실자료.zip'이라는 이름으로 압축 파일이 첨부되어 있으면서, 이 zip 파일의 압축을 해제하면 워드 파일 하나와 rar 형식으로 압축된 파일이 또 존재한다는 겁니다. 보안 솔루션을 우회하기 위해 다중으로 압축을 한 것으로 보이죠.

​

'코인분실신고.docx'라는 이름으로 된 워드 파일을 보면 여태까지 매크로를 이용해서 악성 행위를 하는 문서 악성코드처럼 생각될 수 있지만, 실제로는 매크로가 존재하지 않는 일반 워드 파일인데요. 오히려 '잃은 코인 찾기.rar' 압축 파일을 해제하면 'lost.chm'이라는 윈도우 도움말 파일이 나오고, 이것을 실행하면 특정 URL에 접속해 추가 악성 파일을 다운로드하는 행위를 하게 됩니다. 이 chm 악성코드의 경우 이전 글에서 자세히 설명드렸으니 아래의 링크를 참고하시면 될 것 같고 최근 악성 메일 동향에 대해서 말씀드리고 마치도록 하죠.

윈도우 도움말 파일 악성코드 사례

​

요즘은 워낙 메일 서버에 보안 솔루션들이 악성코드를 잘 탐지하다보니, 단순 exe와 같은 실행파일 형 악성코드는 다중 압축을 하거나 압축 파일에 비밀번호를 걸어두지 않고서는 쉽게 차단되고 있는 추세입니다. 그 뒤에 나왔던 매크로를 이용한 문서형 악성코드의 경우도 문서 내 매크로를 제거하는 CDR 솔루션이 나온 뒤로 메일 보안 솔루션에서도 해당 컨셉을 그대로 적용해서 탐지하고 있죠. 심지어 워드 파일 등에서 콘텐츠 사용 버튼을 누르면 위험하다고 인식하는 사용자들이 많기에 잘 감염되지 않는 추세로 보입니다. 그래서 최근에 해커들이 chm이라는 사용자에게 덜 익숙한 도움말 파일을 가지고 메일에 첨부해서 보내는 것으로 추측됩니다.

‘잃어버린 암호화폐 찾아드립니다!’ 도움말 사칭한 악성메일 발견

 

사실 이 도움말 파일 악성코드 자체도 내부적으로는 컴파일 된 HTML 형태로 되어있기 때문에, 이를 디컴파일해서 악성 행위를 하는 코드를 찾는다면 충분히 탐지할 수 있을 것으로 보이는데요. 다만 이제 막 chm 악성코드가 사용되고 있는 단계이기 때문에, 보안 업체들에서 이를 연구하고 있고 메일 보안 솔루션에 대중적으로 적용되지 않았을 뿐이죠. 늘 그랬듯이 이러한 악성 메일도 시간이 지나면 쉽게 차단될 수 있겠지만, 이 글을 읽으시는 분들은 그 전에 이러한 내용들을 잘 알아두셔서 악성코드 감염 등의 피해를 입지 않았으면 합니다. 그럼 오늘은 여기서 끝내도록 하겠습니다. 읽어주셔서 감사합니다.