익명의 화이트해커가 해킹 피해를 막기 위해 악성코드를 인터넷에서 유행하는 GIF 파일(움짤)로 바꿔 내려받게 한 일이 알려져 주목을 끌고 있다.
미국 지디넷은 이모텟 봇넷을 추적하는 화이트해커 조직 크립토래무스에 따르면 이같은 모습이 지난 21일부터 나타났다고 보도했다. 크립토래무스는 이모텟 봇넷에서 다운로드된 페이로드(구성요소)의 4분의 1 가량이 GIF 파일로 대체됐다고 밝혔다.
이모텟은 사업 관련 서류로 위장한 메일에 악성코드가 담긴 오피스 문서 또는 해당 문서를 내려받을 수 있는 악성 링크를 첨부해 유포되고 있다. 사용자가 문서 파일을 열고 매크로가 실행되도록 '콘텐츠 사용' 버튼을 클릭할 경우 악성코드와 페이로드를 인터넷에서 내려받아 기기를 감염시킨다.
그러나 최근 유포된 이모텟 악성 문서 파일에서는 콘텐츠 사용 버튼을 실행 시 악성코드 대신 인터넷 상에 인기 있는 GIF 파일이 다운로드됐다. 결과적으로 사용자들은 해커가 유포한 악성 파일을 열람해도 해킹 피해를 입지 않게 됐다.
이모텟을 유포하는 해커가 오픈소스 스크립트를 사용하고 있고, 해커의 명령을 서버로 전달해 수행하도록 만드는 '웹셸' 전체에 동일한 패스워드를 적용한 점이 발단이 됐다. 패스워드를 알 수만 있다면 이모텟 관련 인프라를 제3자가 가로챌 수 있는 환경이었던 것. 이모텟 유포를 방해하는 해커는 이 취약점을 노린 것으로 추정된다.
관련기사
- KISA, 20개국과 악성코드 '이모텟' 대응 모의 훈련 실시2020.03.11
- 금융권 겨냥 악성코드 '이모텟', 올해 활동 급증2020.02.07
- 악성코드 '이모텟', 그룹메일 대상으로 확산2020.01.22
- 악성코드 '이모텟', 일본서 신종 코로나 안내문 사칭 메일로 확산2020.01.30
루슨에 따르면 지난 23일에는 이모텟 봇넷이 다운되기도 했다. 이에 대해 루슨은 이모텟을 유포하는 해커가 이런 방해 공작을 근절하기 위한 조치로 분석했다. 이후 해커가 기존 페이로드를 복구했지만, 지난 24일에도 이모텟 페이로드가 GIF 파일로 대체된 것이 확인됐다.
이에 미국지디넷은 지난주 동안 이모텟 유포가 심각하게 위축된 것으로 보인다고 평가했다.