Home > 전체기사

링크 포함된 이미지로 유포되는 NanoCore 악성코드 주의!

  |  입력 : 2021-11-02 15:56
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
첨부 문서 검토 제목으로 유포... 본문 내용없이 첨부된 이미지 파일에 다운로드 링크 숨겨져 있어

[보안뉴스 원병철 기자] 최근 이메일 내 링크가 포함된 이미지를 통해 악성코드를 유포중인 악성 메일이 확인돼 사용자들의 주의가 요구된다. 이스트시큐리티 ESRC(시큐리티 대응센터)는 ‘첨부 문서 검토’라는 제목의 악성메일이 최근 확인됐다며 이와 같이 밝혔다.

▲‘첨부 문서 검토’란 제목으로 유포중인 악성 메일[자료=ESRC]


이번에 발견된 악성메일은 첨부 문서 검토라는 제목으로 유포되고 있다. 해당 이메일을 클릭하면 어떠한 내용도 없이 ‘이미지 파일’이 포함되어 있다. 해당 이미지에는 링크가 포함되어 있으며, 해당 링크를 클릭 시 압축파일이 다운로드된다.

▲이미지 클릭 시 내려오는 악성파일[자료=ESRC]


▲.scr 파일 내 포함되어 있는 파일들[자료=ESRC]

해당 파일의 압축을 해제하면 .scr 확장자를 가진 파일을 확인할 수 있다. 해당 파일의 확장자는 .scr 파일이지만, 실제로는 압축파일로 압축파일 내에는 다음과 같이 여러 개의 파일들이 포함되어 있다.

하지만 사용자는 압축파일인지 확인하기는 힘들며, 다운로드 된 .scr 파일을 더블클릭하면 자신을 레지스트리에 등록하고 Update.vbs 파일을 생성한 후, 최종적으로 특정 파일(jmmhvp.pif)을 통해 난독화된 파일(khugi.hel)을 읽어와 악성 행위를 수행한다.

최종적으로 실행되는 khugi.hel 파일은 NanoCore RAT으로 공격자의 서버로부터 명령을 받아 사용자 PC를 원격제어 할 수 있다. 원격제어를 통하여 키로깅, 스크린샷 캡처 및 계정 정보 수집과 같은 다양한 기능들을 수행할 수 있다.

ESRC는 “최근 이메일 내용 부분에 아무런 내용 없이 링크가 포함된 이미지만 포함되어 발송되는 방식이 주기적으로 확인되고 있는 만큼, 사용자들의 각별한 주의가 필요하다”면서, “이러한 이메일을 수신한 사용자들은 마우스를 이미지 위로 이동시켜 이미지 내 링크가 포함되어 있는지 확인하고, 링크가 포함되어 있을 경우 클릭하지 말 것을 권고한다”고 강조했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화