실제 코로나19 감염 현황을 보여주지만, 동시에 개인정보를 탈취하는 악성코드도 함께 실행되는 악성 파일이 발견됐다.
글로벌 사이버보안 기업 리즌사이버시큐리티의 위협 연구팀 리즌 랩스는 자사 블로그를 통해 코로나19 확진자 분포도를 보여주는 악성파일을 발견했다고 지난 9일 발표했다. 'Corona-virusMap.com'라는 이름의 윈도 실행 파일(exe)이다.
이 악성파일은 온라인에서 불러온 코로나 분포도를 보여준다. 이 분포도는 존스 홉킨스 대학교에서 제공하는 코로나19 현황 자료를 토대로 나타나는 화면이며, 실제 존스 홉킨스 대학교에서 제공하는 사이트와도 유사한 형태를 띄고 있다. 국가별 확진자 수를 왼쪽에 보여주고, 사망자와 완치자 수 등을 오른쪽에 보여주는 구조다.
그러나 이 파일에는 쿠키, 검색 기록 등 웹 브라우저 정보와 이용자 계정 정보, 암호화 키 등을 탈취하는 악성코드 '아조럴트(AZORult)'가 포함돼 있다.
악성파일을 실행하면 해당 파일과 'Corona', 'Bin', 'Build', 'Windows.Globalization.Fontgroups'라는 이름의 실행파일 복제본들을 생성한다. 악성코드는 생성된 파일들을 실행하고, 여러 URL에 접속하면서 다양한 종류의 정보를 수집하게 된다.
관련기사
- 기업 이메일 공격 271% ↑…'오피스365' 관리자 계정 악용2020.03.16
- MS, 유출된 'SMB 취약점' 보안 패치 뒤늦게 배포2020.03.16
- "해커들, 4일만에 크롬 새 보안 조치 뚫었다"2020.03.16
- 안랩, 자사 백신에서 '코로나19' 정보 안내2020.03.16
연구팀은 이 악성파일에서 감염된 웹 브라우저에서 로그인 데이터를 다른 폴더로 옮기는 아조럴트의 행태를 포착했다. 이 파일은 정보를 수집한 뒤 감염된 PC의 고유한 식별자를 만들고 XOR 키로 암호화한 뒤 명령제어(C2) 서버와 통신을 시작한다.
리즌 랩스는 존스 홉킨스 대학교에서 제공하는 데이터 원본은 안전하다고 덧붙였다.