신종 코로나바이러스(코로나 19)에 대한 공포감이 확산되면서 이런 대중의 심리를 악용한 악성코드 유포가 계속되고 있어 각별한 주의가 요구된다.

최근 "corona virus" 키워드를 활용한 파일명의 윈도우와 안드로이드 악성코드들이 대량으로 유포 중인 것으로 확인됐다.

공격자들은 이메일 첨부파일을 통해 악성코드를 유포 중이며, 이들이 유포한 악성코드들의 명칭에는 공통적으로 ‘coronavirus’(코로나바이러스)라는 키워드가 포함되어 있는 것이 특징이다. 다음은 최근 발견된 악성코드 파일명들이다.

△new infected CORONAVIRUS △CoronaVirus Safety Measures △Corona_Virus_Data_Leaked △CoronaVirus △冠状病毒(=CoronaVirus)

최근 "corona_virus" 키워드로 유포되고 있는 많은 악성코드들 중 한 가지를 분석해 보면, 공격자는 조작된 문서를 통해 원격에서 임의의 코드를 실행할 수 있는 MS오피스 취약점(CVE-2017-0199)을 악용한 것으로 추정된다. 일단 파일을 열어본 경우, 사용자 PC가 C2서버로 연결되면서 사전에 세팅된 또 다른 악성 문서 파일을 다운로드 및 실행하게 된다.

실행된 악성 문서 파일에는 공격자가 문서 내 심어둔 매크로를 실행하기 위해 사용자로 하여금 매크로 기능 활성화를 유도하는 기능이 포함돼 있다.

문서 내 존재하는 매크로는 특정 경로를 통해 파일을 다운로드하고 실행하는 코드를 포함하고 있다.

악성 매크로 코드에 남은 메시지(pwned)나 putty만 실행만 할 수 있는 것으로 보아 테스트용으로 추정되며, 실제 유포 시에는 봇이나 랜섬웨어를 설치할 수 있을 것으로 추측된다.

다만 2월 12일 기준, 국내에서 한글로 작성된 코로나바이러스 악성메일 및 첨부파일은 발견되지 않았다. 하지만 해외에서는 코로나바이러스 이슈를 활용한 악성코드 유포가 지속적으로 확인되고 있으며, 악성코드 유포 외에도 코로나바이러스 최신 뉴스 사칭 메시지, 코로나바이러스 퇴치나 예방에 도움이 되는 것처럼 속이는 제품 홍보 스팸메일, 피싱 등도 꾸준히 발견되고 있는 상황이다.

이스트시큐리티 관계자는 “출처가 불분명한 신종 코로나 바이러스 관련 이메일 수신 시첨부파일 클릭을 하지 않아야 한다”고 강조했다.

★정보보안 대표 미디어 데일리시큐!★