전 세계 윈도우 시스템 ‘맬웨어 피싱 비상’

[애플경제 엄정원 기자] 전세계 윈도우 사용자들이 각별히 조심해야 할 일이 생겼다. 27일 보안매체들에 의하면 해커들이 가짜 음성 메시지와 구매 주문서를 이용, 업크립터(UpCrypter) 맬웨어를 유포하고 있는 것으로 밝혀졌다. 이를 통해 전 세계 모든 곳의 윈도우 시스템을 원격으로 제어할 수 있다.

세계에서 가장 많은 사람들이 사용하는 운영체제가 해커들의 집중 타깃이 된 셈이다. 이런 사실은 사이버 보안 연구원들이 유독 윈도우 기기를 표적으로 삼는 피싱 이메일이 급증하고 있음을 확인하면서 밝혀졌다.

그 중 포티넷의 보안연구소인 ‘포티가드 랩스’는 “공격자가 감염된 컴퓨터에 장기간 접근할 수 있도록 여러 유형의 원격 액세스 도구(RAT)를 악용한다”며 “이를 설치하도록 설계된 로더인 업크립터가 활성화되고 있다”고 공개했다.

부재중 음성 메시지나 구매 주문서로 위장

공격을 위한 이들의 피싱 이메일은 흔히 부재중 음성 메시지나 구매 주문서로 위장, 발송된다. 무심하게 첨부 파일을 클릭한 순간, 가짜 웹사이트로 리디렉션된다. 이런 악성 웹사이트는 겉으론 그럴듯하게 보이도록 설계되어있다. 사용자들이 잘 속아넘어갈 수 있도록 버젓이 회사 로고가 표시되는 경우가 많다.

포티넷에 따르면, 이런 종류의 피싱 페이지는 사용자에게 위장된 자바스크립트 드로퍼가 포함된 ZIP 파일을 다운로드하도록 유도하곤 한다. 일단 스크립트가 실행되면 백그라운드에서 파워셀(PowerShell) 명령이 실행, 공격자가 제어하는 ​​서버로 연결된다. 다시 다음 단계로 넘어가 악성코드를 실행하게 된다.

즉 피싱 페이지에 애초 접속하지 않는게 상책이다. 그럼에도 이지는 수신자가 ‘업크립터’의 드로퍼 역할을 하는 자바스크립트 파일로 유인하고 있다. 자바스크립트를 무심코 다운로드하도록 설계된 것이다.

일단 ‘업크립터’가 실행되면 시스템을 탐색, 외부 침입 가능성을 대비한 샌드박스 또는 포렌식 도구가 작동하고 있는지를 먼저 살핀다. 만약 그런 모니터링이나 감지 장치가 포착되면, 로더가 재부팅을 강제로 실행, 감시를 중단하게 한다.

만약 침투 장애물이 발견되지 않으면 악성코드는 추가 페이로드를 다운로드하고 실행한다. 경우에 따라 공격자는 ‘스테가노그래피’를 통해 이미지 안에 이런 파일을 숨기기도 한다.이는 바이러스 백신 소프트웨어 탐지를 우회하는 데 도움이 되는 수법이기도 하다.

문자열 난독화, 레지스트리 변경, 메모리 내 코드 실행 등

우손 ‘PureHVNC’는 숨겨진 원격 데스크톱 액세스를 허용한다. 또 ‘DCRat(DarkCrystal RAT)’은 스파이 활동 및 데이터 유출을 위한 다기능 도구다. ‘Babylon RAT’은 공격자가 장치를 완전히 제어할 수 있도록 한다.

포티넷 연구원들은 “악성 코드를 위장하기 위해 여러 가지 방법을 사용한다는 점에 유의해야 한다”고 조언했다. 이에 따르면 공격자들은 문자열 난독화, 레지스트리 설정 변경을 통한 지속성 확보, 디스크에 흔적을 남기지 않기 위한 메모리 내 코드 실행 등을 감행한다.

‘사이버시큐리티 인사이더’에 의하면 윈도우를 노린 이런 피싱 공격은 8월 초부터 등장하기 시작했다. 짧은 기간에 오스트리아, 벨라루스, 캐나다, 이집트, 인도, 파키스탄 등 전 세계적으로 확산되고 있다. 그만큼 윈도우 사용자들이 전 세계에 광범위하게 분포되어 있기 때문이다.

알려지기론 지금까지 가장 큰 피해를 입은 분야는 제조, 기술, 의료, 건설, 소매, 숙박업 등이다. 포티넷에 의하면 처음 출현한지 단 2주 만에 탐지 건수가 두 배로 증가한 것으로 전해졌다. 그만큼 공격 속도가 빠르고, 확산세가 맹렬함을 보여준다.

이런 공격 수법은 단순히 사용자 이름과 비밀번호를 훔치는 것에 그치지 않는다. 장기간 기업 시스템 내에 은닉되도록 설계된 일련의 악성코드를 유포함으로써 두고두고 큰 피해를 유발한다. 그래서 “사용자들과 기업은 이런 위협을 심각하게 받아들이고, 강력한 이메일 필터를 사용해야 한다. 직원들도 이러한 유형의 공격을 인식하고 피할 수 있도록 철저한 교육이 필요하다”는 포티넷의 조언이다.