랜섬웨어, 이제는 패키지로 움직인다

랜섬웨어 및 광고-클리커 등 각종 악성 패키지 동반하는 ‘네머코드’ 감염 주의

[보안뉴스 민세아] 앞으로는 랜섬웨어에 감염되는 것뿐만 아니라 악성코드 추가 감염까지 걱정해야 할 지경이다.

유럽의 엔드포인트 보안 전문 업체인 이셋(ESET)의 국내 법인인 이셋코리아(대표 김남욱)는 랜섬웨어 및 각종 광고-클리커 감염의 시작이 되는 ‘네머코드(Nemucod)’ 다운로더가 다시 확산되고 있어 각별한 주의를 요한다고 전했다.

지금까지 네머코드는 대표적인 랜섬웨어 다운로더 중 하나로 알려져 있었으나, 광고-클리커 악성코드인 코브터(Kovter)를 다운로드하는 사례가 다수 보고되고 있다.

이러한 현상은, 랜섬웨어 감염 등 악성 다운로더를 이용한 공격 형태가 피해자에게 랜섬웨어 뿐만 아니라 광고-클리커 등 추가 악성코드를 포함하는 악성코드 패키지로 제공하는 형태로 발전되고 있음을 보여주고 있다. 아울러 추가 악성코드는 랜섬웨어 활동에 대한 주의를 분산시키는 효과도 얻을 수 있다.

먼저 이전의 랜섬웨어 감염 벡터와 동일하게 피해자는 실행 가능한 .js 파일 형태의 다운로더가 첨부된 이메일을 수신하게 되며, 이를 실행하면 다섯 개의 파일을 한 번에 다운로드한다. 이 중 처음 2개는 이셋에서 Win32/Kovter 및 Win32/Boaxxe로 검출되는 광고-클리커다. 나머지 세 파일들은 컴퓨터 내 중요한 파일들을 찾아 이를 암호화하는 랜섬웨어와 관련이 있다.

네머코드는 우선 랜섬웨어 실행에 필요한 PHP 인터프리터와 추가 PHP 라이브러리를 다운로드해 설치한 후, 최종적으로 PHP/Filecoder.D로 진단되는 랜섬웨어 자체를 다운로드하고 파일을 암호화하는 악성행위를 시작한다.

랜섬웨어가 실행되면 MS Office 파일, 이미지, 동영상, 사운드 파일 등 약 120여 종류의 확장자를 가진 파일들을 암호화 한 후 ‘.crypted’ 확장자로 변경시킨다

암호화가 완료되면 네머코드는 몸값 요청 텍스트 파일을 생성하며, 최종적으로 PHP 인터프리터의 라이브러리 및 랜섬웨어는 파일 시스템에서 삭제된다.

이와 같은 전형적인 랜섬웨어 감염 페이로드 이외에, Boaxxe는 크롬과 파이어폭스 등 널리 사용되는 브라우저 확장 모듈을 다운로드하거나 파일을 설치 및 실행할 수 있는 원격제어 백도어도 함께 감염시킨다. 감염된 PC를 통해 특정 웹사이트에 대량의 트래픽이나 클릭을 발생시켜 수익을 얻는 프락시서버 역할 등 악의적인 목적으로 사용될 수 있도록 하기 위해 C&C 서버와 통신하는 트로이 목마의 성격을 띤다.

이 밖에도 추가적인 네머코드 활동이 브라질 등 남아메리카에서 관찰되었는데, 이셋에 의해 Win32/Spy.Banker.ADEA로 진단되며, 포르투갈 언어의 운영체제에서 브라우저를 이용한 금융 거래정보를 유출한다.

이셋코리아의 김남욱 대표는 “스크립트 수준의 다운로더 감염에 보다 더 주의를 기울여야 한다. 이러한 다운로더가 시스템에 직접적으로 피해를 주지는 않지만, 추가 악성코드를 다운로드할 수 있기 때문에 그 피해를 예측하기가 어렵다. 지금까지는 주로 랜섬웨어 다운로드에 많이 이용되었지만, 이번에 발견된 광고-클리커 및 스파이웨어 이외에도 다양한 악성코드 감염의 통로로 사용될 수 있다는 점을 기억해야 한다”고 전했다.

또한 김 대표는 “스크립트 수준의 악성코드는 그 자체만으로는 악성 여부를 판단하는 기준이 모호하기 때문에 기존의 악성코드 차단방법만으로 완벽하게 유입을 차단하기 어렵다. 따라서 출처가 불분명한 이메일이나 웹사이트 접속을 자제하는 등의 기본적인 보안 활동이 필요하며, 스크립트가 포함된 이메일의 유입을 차단한다거나, 스크립트에 의한 추가 파일 다운로드 등의 행위를 차단하는 등 보다 적극적인 대응과 방어가 필요하다”고 주의했다.
[민세아 기자(boan5@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)