근로계약서 HWP 파일로 위장한 악성코드가 국내에 유포됐다.
20일 하우리(대표 김희천)는 '근로계약서를 보내드립니다'라는 제목으로 전달되는 이메일의 첨부파일을 열람하면 PC 정보를 외부로 유출당할 수 있다고 경고했다. 올초 '북한 신년사' 문서로 위장한 악성코드 제작자와 동일한 제작자가 만든 걸로 추정된다고 덧붙였다.
문제의 첨부파일은 '근 로 계 약 서.hwp'와 '실행예산변경.hwp' 2가지다. 문서를 열람할 경우 정보탈취 악성코드에 감염된다. 감염되면 PC에서 정상 프로그램인 네트워크셸(netsh.exe)이 실행된다. 이후 국내 한 병원 웹서버에서 그림파일로 위장한 정보탈취 악성코드를 추가로 내려받는다.
관련기사
- "원격제어툴 기반 악성코드, 국내서 조직적으로 판매돼"2017.03.20
- 미국 대통령 얼굴로 돈 내라는 랜섬웨어 출현2017.03.20
- 랜섬웨어, 당신의 공인인증서를 노린다2017.03.20
- HWP 악성코드, 레퍼토리 다양해져2017.03.20
이 추가 악성코드는 암호화된 채 전달돼 메모리상에서 복호화한 다음 동작한다. 감염된 PC에서 각종 정보를 클라우드 서버로 전송하고 다른 악성코드 파일까지 더 내려받는다.
하우리 최상명 침해사고대응팀(CERT) 실장은 "3월 들어 유사 공격이 많이 발견되고 있다"며 "공격 사전차단 솔루션을 이용하면 예방할 수 있다"고 말했다. 회사측은 바이로봇 에이피티쉴드를 통해 사전 차단될 수 있으며 바이로봇 백신 제품으로 탐지 및 치료될 수 있다고 설명했다.