요즘은 증권사의 현금 배당 내역이나 보험사의 보험 약관과 같이 많은 서류들을 대부분 메일을 통해서 받게 됩니다. 그래서 자기 자신이 자주 사용하는 은행이나 보험사에서 메일이 오면 의심 없이 열어보는 편이죠. 그러다 보니 이러한 습관들을 노린 공격들이 굉장히 많아졌습니다.
최근에는 해외 해커들이 국내 금융권이나 보험사를 위장한 피싱 메일들을 자주 보내고 있는데요. 요즘 공격 트렌드가 한 놈만 걸려라라는 마인드로 불특정 다수에게 보내기 때문에, 만약 해커가 보낸 메일의 제목이 자신이 사용하는 은행 이름이라면 무심코 열어볼 수 밖에 없겠죠.
거기다가 이전 글들에서 말씀드린 것처럼 해커가 메일의 내용 자체를 정상적인 메일처럼 보이도록 싱크로율을 높여나가고 있기 때문에 굉장히 주의하셔야 합니다. PC에 알약이나 V3와 같은 안티 바이러스가 설치되어 있다고 하더라도 안심할 수 없는게, 이를 우회하기 위해 수단과 방법을 가리지 않고 있죠.
오늘 설명드리는 악성코드는 윈도우 도움말이라는 CHM 파일 형식입니다. 과거 EXE나 문서형 악성코드와는 다르게 CHM 악성코드는 아직까지 안티 바이러스에서 완벽하게 탐지하지 못하고 있는데요. 계속해서 탐지율이 높아지고는 있지만, 해커들도 새로운 우회 방법을 적용하고 있기 때문에 안심할 수 없는 상황입니다.
이번 글에 설명드리는 악성코드는 금융권이나 보험사에서 보내는 일반적인 메일처럼 보이도록 제목과 내용이 적혀있고, 첨부된 CHM 파일을 다운로드 받도록 유도합니다. 이때도 안티 바이러스에 걸리지 않기 위해, RAR라는 형식의 압축을 한 것이 특징인데요. 일반인에게는 생소한 압축 파일이지만, 압축 프로그램으로 쉽게 해제가 가능하죠.
RAR 압축을 해제해서 CHM 파일을 열게 되면 위의 그림과 같이 정상 파일로 위장한 본문의 내용을 보여주지만, 실제로는 백그라운드에서 악성 행위를 수행하게 됩니다. 해당 악성코드의 분석 내용을 보면 사용자의 개인정보를 유출하고 시스템 및 웹 브라우저 정보를 탈취하는 인포스틸러 형 악성코드로 보여집니다.
[Trojan.Downloader.CHM] 악성코드 분석 보고서
안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 국내 금융 기업 및 보험사를 위장한 악성 CHM 파일이 RAR 형식으로 압축되어 유포되고 있습니다. 이러한 CHM 파일 내부에는
blog.alyac.co.kr
악성코드의 동작 흐름에 대해서는 굉장히 짧게 설명드리긴 했지만, 결국 사용자가 의심하지 못하도록 앞에서는 정상적인 화면을 보여주고 백그라운드에서 추가적인 악성코드를 다운로드 받아 실행시키는데요. 대부분의 악성코드들이 하는 행위는 거의 비슷하다고 보시면 됩니다.
이번 글에서 참고한 것은 이스트시큐리티에서 발행한 보안동향보고서로 안랩의 ASEC 리포트와 더불어 최근 악성코드에 대한 꽤 자세한 분석 내용을 담고 있는 문서입니다. 궁금하신 분들은 직접 다운받아 읽어 보시는 것도 좋을 것으로 생각하며, 다음 글에서 뵙도록 하겠습니다. 감사합니다.
'Security Essay' 카테고리의 다른 글
| 엔씨소프트 신작 TL 크리덴셜 스터핑 공격으로 계정 정보 유출 (0) | 2024.03.11 |
|---|---|
| 사이버 공격에 대응하기 위한 이메일 보안 솔루션 도입 (0) | 2023.10.18 |
| 플랫폼 업계의 ISMS 인증 효율화 요청 (1) | 2023.09.27 |
| 네이버, 다음 등 포털 사이트 위장 피싱 메일 주의 (0) | 2023.09.06 |
| 다크웹에 공개된 2억명의 트위터 사용자 프로필 정보 (0) | 2023.08.24 |
댓글