지속적으로 발견되고 있는 '코로나 바이러스' 관심사를 악용하는 악성코드
최근 신종 코로나 바이러스의 확진자가 지속적으로 발생하면서, 신종 코로나바이러스에 대한 대중의 관심과 우려도 높아지고 있습니다.
이런 상황에서 대중들의 호기심과 공포 심리를 이용하여 악성코드를 유포하려는 시도도 증가하고 있습니다.
최근 "corona virus" 키워드를 활용한 corona virus 명칭이 포함된 파일명의 악성코드가 윈도우/안드로이드 악성코드들이 대량으로 유포 중에 있어 사용자들의 각별한 주의가 필요합니다.
이들은 주로 이메일 첨부파일을 통해 악성코드를 유포 중이며, 공격자들이 유포한 악성코드들의 명칭에는 공통적으로 coronavirus라는 키워드가 포함되어 있습니다. 다음은 최근 확인된 coronavirus 명칭을 사용한 악성코드 파일명들입니다.
- new infected CORONAVIRUS
- CoronaVirus Safety Measures
- Corona_Virus_Data_Leaked
- CoronaVirus
- 冠状病毒(=CoronaVirus)
최근 발견된 안드로이드 악성앱도 역시 coronavirus 키워드를 사용하고 있습니다. 이렇듯 해외에서는 코로나 바이러스 파일명을 활용한 각종 악성코드가 꾸준히 보고되고 있습니다.
※ 관련 글 보기
▶ 신종 코로나 바이러스 이슈를 악용하는 악성 이메일 국내 유입 (2020. 02. 07)
▶ 미국과 영국, 일본에서 코로나 바이러스 관련 피싱 공격 발견 (2020. 02. 03)
최근 "corona_virus" 키워드로 유포되고 있는 많은 악성코드들 중 한 가지를 간단하게 분석해 보았습니다.
사용자가 이메일에 첨부된 악성 문서 파일을 실행하면, 아래와 같은 내용이 사용자에게 보여집니다.
[그림 1] 사용자에게 보여지는 악성 doc 파일 실행 화면
공격자는 조작된 문서를 통해 원격에서 임의의 코드를 실행할 수 있는 Microsoft Office의 취약점(CVE-2017-0199)을 악용한 것으로 추정되며, 일단 파일을 열어본 경우 사용자 PC가 C&C서버로 연결되면서 사전에 세팅된 또 다른 악성 문서 파일을 다운로드 및 실행하게 됩니다.
[그림 2] 첫번째 악성문서를 열어본 이후 연결되는 C&C
실행된 또 다른 악성 문서 파일의 화면은 아래와 같으며, 빈 화면을 보여주고 공격자가 문서 내 심어둔 매크로를 실행하기 위해 사용자로 하여금 매크로 기능 활성화를 유도합니다.
[그림 3] 다운로드 후 실행된 또다른 악성 문서 파일 화면
문서 내 존재하는 매크로는 특정 경로를 통해 파일을 다운로드하고 실행하는 코드를 포함하고 있습니다.
[그림 4] 문서 내 악성 매크로 코드
악성 매크로 코드에 남은 메시지(pwned)나 putty만 실행만 할 수 있는 것으로 보아 테스트용으로 추정되며, 실제 유포 시에는 봇이나 랜섬웨어를 설치할 수 있을 것으로 추측됩니다.
아직까지는(2/12 현재) 국내에서 한글로 작성된 corona virus 악성메일 및 첨부파일은 발견되지 않은 상황입니다. 그러나 해외에서는 코로나 바이러스 이슈를 활용한 악성코드 유포가 지속적으로 확인되고 있으며, 악성코드 유포 외에도 코로나 바이러스 최신 뉴스 사칭 메시지, 코로나 바이러스 퇴치나 예방에 도움이 되는 것처럼 속이는 제품 홍보 스팸메일, 피싱 등도 꾸준히 발견되고 있는 상황입니다.
따라서, 사용자 여러분들은 출처가 불분명한 신종 코로나 바이러스 관련 이메일 수신 시 열람을 되도록 지양해주셔야 하며, 신종 코로나 바이러스 관련 정확한 정보가 필요하신 경우 다음 사이트를 활용하시는 것을 권장드립니다.
알약에서는 최근 발견되고 있는 코로나 바이러스 사칭 악성코드에 대해 Trojan.Dropper.W97M.Agen, Trojan.Downloader.DOC.Gen, Trojan.PSW.Predator, Trojan.Agent.122368C 등으로 대응중이며, ESRC는 지속적으로 코로나 바이러스 사칭 피싱 캠페인 및 악성 이메일 유포에 대한 모니터링을 진행하고 있습니다.