악성 PDF 파일 열게 되면 Formbook 악성코드 감염...사용자 PC 정보 탈취
[보안뉴스 권 준 기자] 최근 국내 주요 기업 임직원을 대상으로 ‘결제 송장’으로 위장한 악성 이메일이 대량 유포되고 있는 것으로 드러났다.
보안업체 이스트시큐리티의 시큐리티대응센터(ESRC)에 따르면 지난 19일부터 국내에 유포되고 있는 악성 이메일은 기존에 유포되던 송장으로 위장한 악성 이메일과 크게 다르지 않지만. MS office 문서파일 및 HWP 문서파일이 아닌 PDF 문서를 첨부한 것이 특징이다.
▲악성 PDF 파일이 첨부된 결제 송장 위장 이메일[자료=ESRC]
해당 악성 이메일은 국내 특정 해운회사의 이메일 주소를 사칭하고 있는데, 메일 수신자의 이메일 주소 앞자리를 그대로 사용했으며, 부자연스러운 인사말을 쓰고 있는 것으로 나타났다.
메일에 첨부된 악성 PDF 파일 내에는 악성 매크로가 포함된 Excel 파일이 들어가 있는데, 만약 사용자가 악성 PDF 문서를 실행할 경우 Adobe Reader에서는 아래와 같은 경고창을 띄워 사용자에게 경고하고 있다.
▲Adobe Reader에서 띄우는 경고 창[자료=ESRC]
이 과정에서 사용자가 ‘허용 안 함’을 클릭하면 더 이상의 악성 행위가 이루어지지 않지만, 만약 ‘이 파일 열기’를 선택한 후, 확인을 누르면 PDF 파일 내 포함되어 있던 악성 Excel 파일이 메모리 내에서 자동으로 실행된다는 게 ESRC 측의 설명이다.
만약 사용자가 [매크로 포함]을 클릭한다면, Excel 파일에 포함되어 있던 난독화된 매크로 스크립트가 실행되며, 공격자가 세팅해 둔 명령제어(C&C) 서버에 접속해 %appdata% 경로 하위에 win32 파일명을 가진 악성 파일을 내려 받고 실행하는 과정을 거치게 된다.
이렇게 실행된 파일은 다시 공격자가 사전에 세팅해 둔 구글 드라이브에 접속해 추가 파일을 다운받은 후, 악성 행위를 수행하는 것으로 분석됐다. 최종적으로 실행되는 코드는 Formbook 악성코드로, 사용자 PC에서 스크린샷 화면, host 파일정보, 브라우저 정보(Internet Explorer, Firefox, opera, outlook, thunderbird) 등을 수집해 공격자의 C&C 서버로 전송하게 된다.
공격자는 ‘결제 송장’ 외에 ‘FedEX’를 사칭하거나 ‘Scan’이라는 파일명으로도 악성 PDF 파일을 활용하고 있으며, C&C 서버 주소 차단을 방지하기 위해 구글 드라이브 주소를 통해 악성 페이로드를 내려 받고 있는 것으로 드러났다.
이와 관련 ESRC 측은 “출처가 불분명한 사용자에게서 온 메일인 경우 메일에 포함된 첨부파일 다운로드는 절대적으로 금지해야 하며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 줄 것”을 당부했다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>