"근로계약서 위장 HWP 악성코드 유포"

하우리 "파일 생성 없이 메모리에서 동작해 PC 정보 탈취"

컴퓨팅입력 :2017/03/20 19:45    수정: 2017/03/21 08:05

근로계약서 HWP 파일로 위장한 악성코드가 국내에 유포됐다.

20일 하우리(대표 김희천)는 '근로계약서를 보내드립니다'라는 제목으로 전달되는 이메일의 첨부파일을 열람하면 PC 정보를 외부로 유출당할 수 있다고 경고했다. 올초 '북한 신년사' 문서로 위장한 악성코드 제작자와 동일한 제작자가 만든 걸로 추정된다고 덧붙였다.

문제의 첨부파일은 '근 로 계 약 서.hwp'와 '실행예산변경.hwp' 2가지다. 문서를 열람할 경우 정보탈취 악성코드에 감염된다. 감염되면 PC에서 정상 프로그램인 네트워크셸(netsh.exe)이 실행된다. 이후 국내 한 병원 웹서버에서 그림파일로 위장한 정보탈취 악성코드를 추가로 내려받는다.

관련기사

하우리 바이로봇 에이피티쉴드를 통해 탐지된 근로기준법 HWP 문서 위장 악성코드

이 추가 악성코드는 암호화된 채 전달돼 메모리상에서 복호화한 다음 동작한다. 감염된 PC에서 각종 정보를 클라우드 서버로 전송하고 다른 악성코드 파일까지 더 내려받는다.

하우리 최상명 침해사고대응팀(CERT) 실장은 "3월 들어 유사 공격이 많이 발견되고 있다"며 "공격 사전차단 솔루션을 이용하면 예방할 수 있다"고 말했다. 회사측은 바이로봇 에이피티쉴드를 통해 사전 차단될 수 있으며 바이로봇 백신 제품으로 탐지 및 치료될 수 있다고 설명했다.