[카드뉴스] HTML 파일에 스크립트 코드 삽입해 공격하는 CHM 악성코드

2023-12-06 15:20
  • 카카오톡
  • 네이버 블로그
  • url
















멀웨어(Malware, 악성코드) 중에서 CHM 악성코드란 HTML 형식의 도움말 파일을 말한다. CHM 악성코드는 인포스틸러형 악성코드로 HTML 파일 내부에 악의적인 스크립트 코드를 삽입해 공격하는 것을 말한다. CHM은 HTML 형식의 도움말 파일이다.

CHM 악성코드의 전파 유형은 먼저 도움말 창을 생성한 뒤 악성 스크립트를 실행하는 방식으로 이뤄진다. 정상적인 빈 도움말 창을 생성하게 되는데, 도움말 창 내용은 사용자에 따라 위장할 수 있다. 그다음으로 악성 스크립트를 실행, 악성행위를 수행한다.

최근 CHM 악성코드가 발견된 것은 2023년 5월 종합소득세 신고 기간에 ‘국세청 세무조사 신고 안내문’으로 위장해 전파된 사례가 있기도 하다.

CHM 악성코드는 사용자의 시스템 화면에 정상적인 이미지와 텍스트를 함께 보여주며, 사용자가 악의적인 공격을 인지하기 어려운 수준으로 위장해 유포하고 있다. 만약 기업체에서 CHM 악성코드에 감염되는 경우, 사용자의 정보 탈취에 따른 손해, 자산 손실 등의 위협에 노출될 수 있어 주의해야 한다.

주요 CHM 악성코드 유포 사례를 보면 주로 남아시아 정부기관을 대상으로 하는 해킹그룹인 비터(Bitter, T-APYT-17)가 있다. 비터 해킹그룹이 유포한 CHM 파일을 실행하면 대부분은 빈 도움말 창을 생성하지만, 일부는 ‘중국중앙통일전선부’ 및 ‘중국러시아 평화 개발 위원회’ 등과 관련된 내용을 확인할 수 있다.

비터 해킹그룹의 주요 악성코드 유포 과정을 살펴보면, 바로가기 객체를 실행하는 Click 매서드 스크립트 난독화 → 스크립트 동작 → 악성 명령어 실행 → 특정 주소 접근 → 추가 악성 파일 실행 등으로 진행된다.

스카크러프트(SCARCRUFT) 악성코드는 RAR 형식으로 압축해 유포돼 파일을 실행할 때 국내 금융 기업과 보험사를 사칭한 ‘카드 이용한도’, ‘보험료 출금결과’, ‘은행 상품 계약 내용’ 등의 안내문이 뜬다.

스카크러프트 악성코드는 기존 악성 CHM 내 스크립트와 알리 Object 태그가 있어 명령어가 바로 실행되지 않는다. 이 악성코드는 문자열을 조합하고, innerHTML 속성을 통해 특정 id 영역에 삽입돼 실행되는 과정을 거친다.

악성코드 감염을 예방하는 가장 기본적인 방법은 ①메일의 수신자를 상세하게 확인 후 출처가 불분명한 파일의 경우 열람을 자제하고 ②주기적인 PC 점검 및 최신버전으로 제품을 유지하며 ③신뢰할 수 없는 페이지에서 파일의 다운로드 금지 등이 있다.
[제작=서울여자대학교 정보보호학과 제20대 학생회 플레이스]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 하이크비전

    • 인콘

    • 모토로라시스템

    • 마이크로시스템

    • 다봄씨엔에스

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지
      줌카메라

    • 지인테크

    • 비전정보통신

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 엔토스정보통신

    • 아이서티

    • 경인씨엔에스

    • 메인아이티

    • 성현시스템

    • 효성인포메이션시스템

    • 다후아테크놀로지코리아

    • 디비시스

    • 아이리스아이디

    • 한국씨텍

    • 지오멕스소프트

    • 이오씨

    • 투윈스컴

    • 이에스티씨

    • (주)우경정보기술

    • 살토시스템

    • 유니뷰코리아

    • 세연테크

    • 이앤엠솔루션

    • 위트콘

    • 트루엔

    • 엔텍디바이스코리아

    • 포엠아이텍

    • 유에치디프로

    • 주식회사 에스카

    • 넥스트림

    • 포티넷

    • 휴네시온

    • 안랩

    • 나온웍스

    • 클래로티

    • 앤앤에스피

    • 이글루코퍼레이션

    • 노조미네트웍스

    • 카스퍼스키랩코리아

    • 한드림넷

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 사라다

    • 아이엔아이

    • 풍림무약주식회사

    • 새눈

    • 앤디코

    • 태정이엔지

    • 네티마시스템

    • 에이앤티코리아

    • 모스타

    • 미래시그널

    • 유투에스알

    • (주)일산정밀

    • HGS KOREA

    • 에스에스티랩

    • 에이앤티글로벌

    • 주식회사 알씨

    • 창성에이스산업

    • 엔에스티정보통신

    • 보문테크닉스

    • 엘림광통신

    • 메트로게이트
      시큐리티 게이트

    • 현대틸스
      팬틸트 / 카메라

    • 티에스아이솔루션

    • 두레옵트로닉스

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 지와이네트웍스

    • 구네보코리아주식회사

    • 동양유니텍

    • 포커스에이치앤에스

    • 엔시드

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기