[카드뉴스] HTML 파일에 스크립트 코드 삽입해 공격하는 CHM 악성코드

2023-12-06 15:20
  • 카카오톡
  • 네이버 블로그
  • url
















멀웨어(Malware, 악성코드) 중에서 CHM 악성코드란 HTML 형식의 도움말 파일을 말한다. CHM 악성코드는 인포스틸러형 악성코드로 HTML 파일 내부에 악의적인 스크립트 코드를 삽입해 공격하는 것을 말한다. CHM은 HTML 형식의 도움말 파일이다.

CHM 악성코드의 전파 유형은 먼저 도움말 창을 생성한 뒤 악성 스크립트를 실행하는 방식으로 이뤄진다. 정상적인 빈 도움말 창을 생성하게 되는데, 도움말 창 내용은 사용자에 따라 위장할 수 있다. 그다음으로 악성 스크립트를 실행, 악성행위를 수행한다.

최근 CHM 악성코드가 발견된 것은 2023년 5월 종합소득세 신고 기간에 ‘국세청 세무조사 신고 안내문’으로 위장해 전파된 사례가 있기도 하다.

CHM 악성코드는 사용자의 시스템 화면에 정상적인 이미지와 텍스트를 함께 보여주며, 사용자가 악의적인 공격을 인지하기 어려운 수준으로 위장해 유포하고 있다. 만약 기업체에서 CHM 악성코드에 감염되는 경우, 사용자의 정보 탈취에 따른 손해, 자산 손실 등의 위협에 노출될 수 있어 주의해야 한다.

주요 CHM 악성코드 유포 사례를 보면 주로 남아시아 정부기관을 대상으로 하는 해킹그룹인 비터(Bitter, T-APYT-17)가 있다. 비터 해킹그룹이 유포한 CHM 파일을 실행하면 대부분은 빈 도움말 창을 생성하지만, 일부는 ‘중국중앙통일전선부’ 및 ‘중국러시아 평화 개발 위원회’ 등과 관련된 내용을 확인할 수 있다.

비터 해킹그룹의 주요 악성코드 유포 과정을 살펴보면, 바로가기 객체를 실행하는 Click 매서드 스크립트 난독화 → 스크립트 동작 → 악성 명령어 실행 → 특정 주소 접근 → 추가 악성 파일 실행 등으로 진행된다.

스카크러프트(SCARCRUFT) 악성코드는 RAR 형식으로 압축해 유포돼 파일을 실행할 때 국내 금융 기업과 보험사를 사칭한 ‘카드 이용한도’, ‘보험료 출금결과’, ‘은행 상품 계약 내용’ 등의 안내문이 뜬다.

스카크러프트 악성코드는 기존 악성 CHM 내 스크립트와 알리 Object 태그가 있어 명령어가 바로 실행되지 않는다. 이 악성코드는 문자열을 조합하고, innerHTML 속성을 통해 특정 id 영역에 삽입돼 실행되는 과정을 거친다.

악성코드 감염을 예방하는 가장 기본적인 방법은 ①메일의 수신자를 상세하게 확인 후 출처가 불분명한 파일의 경우 열람을 자제하고 ②주기적인 PC 점검 및 최신버전으로 제품을 유지하며 ③신뢰할 수 없는 페이지에서 파일의 다운로드 금지 등이 있다.
[제작=서울여자대학교 정보보호학과 제20대 학생회 플레이스]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 유니뷰코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다봄씨엔에스

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지
      줌카메라

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 프로브디지털

    • 인텔리빅스

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 세연테크

    • 비전정보통신

    • 디비시스

    • 동양유니텍

    • 스피어AX

    • 투윈스컴

    • 아이리스아이디

    • 한결피아이에프

    • 유에치디프로

    • 위트콘

    • 주식회사 에스카

    • 포엠아이텍

    • 세렉스

    • 안랩

    • 이글루코퍼레이션

    • 엔피코어

    • 시만텍

    • 트렐릭스

    • 스텔라사이버

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 미래시그널

    • 케이제이테크

    • 알에프코리아

    • 유투에스알

    • 아이엔아이

    • (주)일산정밀

    • 새눈

    • 에스에스티랩

    • 이스트컨트롤

    • 태정이엔지

    • 네티마시스템

    • 구네보코리아주식회사

    • 티에스아이솔루션

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 넥스트림

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 이오씨

    • 글로넥스

    • 메트로게이트
      시큐리티 게이트

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기