원노트 악용 악성코드 유포…"출처 불분명한 파일 열지 마세요"

황정빈 기자 2023. 4. 28. 13:01
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

최근 원노트로 칵봇(Qakbot) 악성코드가 유포되고 있어 사용자들의 주의가 요구된다.

안랩 시큐리티대응센터(ASEC)는 27일 최근 원노트로 유포되는 칵봇이 다시 확인됐으며, 그 과정에 윈도 도움말 파일(CHM)이 이용되는 것을 포착했다고 밝혔다.

ASEC는 "최근 원노트를 악용한 악성코드 유포가 증가하고 있으며, 공격자가 다양한 포맷의 파일을 공격에 이용하고 있다"며 "사용자는 출처가 불분명한 이메일이나 원노트의 열람에 있어서 각별한 주의가 필요하다"고 말했다.

음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

윈도 도움말 파일 통해 악성 파워셀 명령어 실행…안랩 "사용자 알아차리기 어려워"

(지디넷코리아=황정빈 기자)최근 원노트로 칵봇(Qakbot) 악성코드가 유포되고 있어 사용자들의 주의가 요구된다.

안랩 시큐리티대응센터(ASEC)는 27일 최근 원노트로 유포되는 칵봇이 다시 확인됐으며, 그 과정에 윈도 도움말 파일(CHM)이 이용되는 것을 포착했다고 밝혔다.

칵봇은 2007년부터 활동 유라시아계 사이버범죄 단체로 추정된다.

(사진=이미지투데이)

ASEC에 따르면 원노트 파일 실행 시, 마이크로소프트 애저 이미지와 함께 오픈 버튼을 클릭하도록 유도한다. 해당 버튼 위치에는 ISO 악성 파일이 숨어 있어, 사용자가 오픈 버튼을 클릭할 경우 임시 경로에 ISO 악성 파일이 생성되며 마운트된다.

ISO 악성 파일 내에는 CHM 파일이 있으며, README 파일로 위장해 사용자의 실행을 유도한다. CHM 파일 실행 시, 네트워크 연결 구성과 관련된 정상적인 도움말 화면이 생성돼 사용자는 악성 행위를 알아차리기 어렵다.

오픈 버튼 뒤 숨겨있는 악성 파일. (사진=ASEC)

CMD를 통해 악성 파워쉘 명령어를 실행하며, 파워쉘 명령어는 인코딩 형태다. 해당 명령어는 기존 CHM 악성코드와 동일하게 클릭 메소드를 통해 실행된다.

디코딩된 파워쉘 명령어는 지난 4월 PDF를 통해 유포됐던 칵봇에서 사용된 명령어와 유사한 형태로 확인됐다. 또한 현재 다운로드 URL에 연결이 되진 않지만, 내·외부 인프라를 통해 연결이 유효한 당시에 해당 URL에 칵봇 바이너리를 유포한 정황이 확인됐다.

ASEC는 "최근 원노트를 악용한 악성코드 유포가 증가하고 있으며, 공격자가 다양한 포맷의 파일을 공격에 이용하고 있다"며 "사용자는 출처가 불분명한 이메일이나 원노트의 열람에 있어서 각별한 주의가 필요하다"고 말했다.

황정빈 기자(jungvinh@zdnet.co.kr)

Copyright © 지디넷코리아. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?