첨부파일은 ARJ 압축 파일...다운로드 받아 해제하면 로키봇 트로이목마 설치돼
[보안뉴스 문가용 기자] 코로나 사태를 악용한 또 다른 피싱 캠페인이 발견됐다. 이번에는 트로이목마의 일종인 로키봇(LokiBot)을 심기 위한 것이라고 한다. 공격자들은 스스로가 ‘세계보건기구’인 것처럼 위장하고 있으며 “잘못된 정보를 정정한다”는 내용으로 피해자들을 속이고 있다.
[이미지 = iclickart]
이 캠페인을 발견해 알린 건 보안 업체 포티가드(FortiGuard)다. 지난 3월 27일 이 공격을 처음 발견해 여태까지 추적해왔다고 한다. 위협 전문가인 발 생파이불(Val Saengphaibul)은 자사 블로그를 통해 이 사실을 알리며 “공격자들이 감염 예방을 위한 여러 가지 정보를 이메일 본문에 쓰고 있어서 진짜처럼 보인다”고 경고했다.
이메일 본문은 영어로 작성되어 있는데, 꽤나 그럴듯한 영어로 되어 있긴 하지만 “영어를 모국어로서 구사하지 않는 사람이 쓴 것임이 분명하다”고 생파이불은 말한다. “자세히 보면 영어를 태어나면서부터 하던 사람이라면 범하지 않았을 실수들이 꽤나 보입니다. 철자, 구두점 사용 등의 면에서도 말이죠.”
실수는 이것만이 아니다. 세계보건기구인 WHO라는 이름을 쓰면서도 미국의 질병관리센터라고 스스로를 부른다. 게다가 ‘센터’를 미국식 표기인 Center가 아니라 영국식 표기인 Centre라고 쓰기도 한다. 즉, 자세히 읽으면 수상한 구석이 존재한다는 것이다.
실제 문제가 되는 첨부파일은 COVID_19-WORLD HEALTH ORGANIZATION CDC_DOC.zip.arj이라는 이름을 가지고 있다. ARJ 압축파일이며 7-ZIP이라는 유틸리티로 압축을 해제할 수 있다. 또한 공격자들은 이메일을 통해 “ARJ는 효율이 높은 압축 아카이브”라고 소개하고 있다. 피해자들의 의심을 한층 더 줄이기 위한 노력이다.
이 압축파일을 다운로드 받아 해제하면 DOC.pdf.exe라는 파일이 나타난다. 클릭해 실행할 경우 로키봇이 설치된다. 로키봇은 정보를 탈취하는 트로이목마로 여러 가지 앱들에 저장된 크리덴셜을 찾아 외부로 보낸다. 이번 공격의 경우 정보가 전달되는 곳은 http://bslines.xyz/copy/five/fre.php다.
로키봇은 사이버 범죄자들 사이에서 꽤나 유명한 멀웨어다. 사용이 간단하며, 효과적으로 정보를 추출할 수 있다. 또한 암시장에서 활발히 거래되고 있어 구하기도 쉬우며, 300달러 정도로 가격이 형성되어 있어 범죄를 준비하는 이들에게 그리 부담스럽지도 않다.
현재 이 캠페인을 통해 가장 많은 피해를 입은 국가는 터키, 포르투갈, 독일, 오스트리아, 미국인 것으로 나타났다. 그 뒤를 벨기에, 푸에르토리코, 이탈리아, 캐나다, 스페인이 이어가고 있었는데, 터키 등보다는 아직 피해 규모가 훨씬 작은 수준이라고 한다.
3줄 요약
1. 코로나와 WHO 등을 테마로 한 새로운 캠페인 등장.
2. 이번 공격의 최종 목표는 로키봇을 심어 크리덴셜을 훔쳐내는 것.
3. 터키, 포르투갈, 미국, 오스트리아 등에서 피해가 심각하나 점차 펴져가는 중.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>