안랩(대표 강석균)은 최근 대학 논문심사와 상반기 학술대회 등 관련 활동이 열리는 가운데 학술 관련 문서파일을 위장한 악성코드를 발견했다고 8일 밝혔다.
공격자는 ‘2020_OOO(특정 학회 이름)_초전도 논문.hwp’, ‘학술대회.hwp’ 등 학술 관련 파일명으로 악성코드를 포함한 파일을 유포했다.
만약 사용자가 최신 보안패치를 하지 않은 한글(hwp) 프로그램으로 해당 파일을 실행하면 악성코드에 감염된다. 이 악성 문서는 아무 내용 없는 빈 문서이기 때문에 사용자가 의심할 수 있지만, 실행 즉시 악성코드에 감염된다.
감염 이후 악성코드는 공격자의 명령제어(C2)서버와 통신해 추가 악성코드를 내려받는다. 추가 악성코드는 다운로드(downloads) 폴더 목록, 문서(documents) 폴더 목록, 바탕화면 목록, 설치 프로그램 목록, 감염 PC의 IP 주소 등 사용자 PC의 주요 정보를 탈취한다.
이후 공격자의 설정에 따라 원격 조종, 랜섬웨어 등 다양한 악성코드를 추가할 수도 있다.
관련기사
- "해커, 원격근무 환경 협업도구 '빈틈' 노린다"2020.06.08
- '코로나19' 틈탄 금융권 사이버공격 7.3만건 발견2020.06.08
- '북한 코로나19 상황' 위장 악성 문서 주의보2020.06.08
- '부동산 투자 문서' 사칭 악성코드 발견2020.06.08
이같은 악성코드의 피해를 줄이기 위해 안랩은 ▲운영체제, 인터넷 브라우저, 오피스 소프트웨어 등 프로그램 최신 보안 패치 적용 ▲문서파일, 실행파일 등 출처가 불분명한 파일 다운로드, 실행 금지 ▲V3 등 백신 최신 버전 유지 및 실시간 감시 기능 실행 등 필수 보안 수칙을 실행해야 한다고 당부했다.
김준석 안랩 분석팀 연구원은 “공격자는 사용자를 유인하기 위해 시기적으로 관심이 높은 키워드를 자주 활용한다”며 “따라서 사용자는 출처가 불분명한 파일은 다운로드나 실행을 자제하고, 파일 실행 전 백신을 이용한 파일 검사 등을 실행하는 것이 좋다”고 말했다