* 출처는 안랩입니다.
사례비 지급 내용으로 위장한 악성코드가 유포되고 있다. 원노트(OneNote)를 악용한 이 악성코드는 지난달 패스워드 파일 형태로 악성코드를 유포했던 김수키(Kimsuky) 해커 조직의 소행으로 추정된다. 사칭 대상, VB스크립트(VBScript) 파일의 악성 행위 등이 매우 유사하기 때문이다.
원노트 파일을 활용한 공격은 올해 1월 중순부터 등장하기 시작해 점점 증가하는 추세이다. MS오피스(MS Office)의 ‘제한된 보기’와 윈도우 보안 툴 ‘MOTW(Mark of the Web)’를 우회하며, 원노트 파일 안에 VB스크립트, WSF, HTA 등의 파일 형식을 포함하는 것을 허용한다는 취약점을 안고 있다. 이들 파일은 실행 시 특정 경고창이 뜨지만, 대다수 사용자는 아무 생각 없이 경고창에서 ‘확인’ 버튼을 누른다. 이때 악성 스크립트가 실행되는 것이다.
이번에 확인된 원노트 파일은 [그림 1]처럼 사례비 지급 내용을 담고 있으며, 첨부된 한글 파일 클릭을 유도한다.
[그림 1] 원노트 파일의 본문 내용
하지만 이 한글 파일이 위치한 곳에는 [그림 2]와 같이 personal.vbs 명의 악성 스크립트 개체가 숨어 있다.
[그림 2] 숨겨진 악성 스크립트
* 전체내용은 아래에서 확인하세요.