학술연구자·인사담당자 노린 문서형 악성코드 속출
2021-10-26 11:46
안랩 "9~10월 논문·자소서·이력서 위장 악성파일 다수 발견"
두 달 새 논문·자기소개서·이력서로 위장한 악성파일이 수 차례 유포됐다. 학술·교육기관 소속 학술연구자와 기업 소속 인사담당자 등 수시로 문서를 송수신하는 관계자를 노린 공격이다. 무심코 악성파일을 열면 PC의 제어권·개인정보를 탈취당하거나 랜섬웨어 감염으로 주요 파일·데이터가 손상될 수 있어, 사용자들의 주의가 요구된다.
26일 안랩은 지난달부터 논문, 자기소개서, 이력서 등 업무와 학술관련 문서로 위장한 악성파일을 통해 악성코드를 유포하는 사례가 잇따랐다며 사용자 주의를 당부했다. 피해 예방을 위해 오피스 소프트웨어(SW)와 운영체제(OS), 웹브라우저 등 프로그램의 최신 보안 패치를 적용할 것, 출처 불명 문서파일의 실행과 '콘텐츠 사용' 버튼 클릭 금지, 파일 실행 전 확장자 확인, 백신 프로그램 최신버전 유지와 실시간 감시 기능 실행 등 보안수칙을 지켜 달라고 덧붙였다.
한 공격자는 국방관련 논문파일(.doc)에 악성 매크로를 삽입해 변조하고 이를 유포했다. 이 파일을 열면 상단에 '콘텐츠 사용' 버튼이 나타나는데, 이를 누른 사용자의 PC는 즉시 악성코드에 감염되고 명령제어(C&C)서버에 연결하게 된다. C&C서버에 연결된 악성코드 감염 PC는 공격자 명령에 따라 PC 정보를 유출할 수 있다. 사용자가 이 악성문서를 열어도 겉으로는 정상적인 논문 내용이 표시되기 때문에 감염 사실 자체를 알아차리기 어렵다.
앞서 이력서로 위장한 랜섬웨어 첨부 메일이 무작위로 유포된 사례도 있다. 공격자는 특정인 이름을 파일명으로 쓴 압축파일(.zip)을 첨부하고 "안녕하세요 공고보고 메일드립니다"라는 본문을 보냈다. 수신자가 압축파일을 내려받아 해제하면 이력서(뽑아주시면 항상 최선을 다하여 열심히 하겠습니다)'라는 이름의 실행파일(.exe)이 나온다. 사용자가 이 파일을 실행하면 PC가 마콥(MAKOP) 랜섬웨어에 감염된다.
양하영 안랩 분석팀장은 "공격자는 업무 및 일상생활에서 익숙한 소재를 활용해 악성 파일을 유포한다"라며 "사용자는 출처가 불분명한 메일의 첨부파일을 실행하지 않고 사용 중인 문서프로그램, SW 등의 최신 패치를 적용하는 보안수칙 준수를 생활화해야 한다"라고 말했다.