랜섬웨어(Ransomware) 유포의 한 축을 담당하는 메일 첨부 파일을 이용한 방식이 최근 Dridex 봇넷을 통해 국내에서도 대규모로 발견되고 있으며, 어제 소개한 JS 스크립트 방식 외에도 첨부된 서식있는 텍스트(rtf) 문서 파일을 오픈할 경우 감염을 유발시킬 수 있는 사례가 추가로 확인되었습니다.
확인된 "Invoice KHINV55663 from Tip Top Delivery" 제목의 메일에는 Invoice_KHINV55663_from_tip_top_delivery.rtf 문서 파일(SHA-1 : 745f519e41610bd5a89edb1359ced486474cca7f - BitDefender : W97M.Dropper.BD)이 첨부되어 있습니다.
메일에 첨부된 RTF 문서 파일을 다운로드한 상태에서 사용자가 워드패드(WordPad) 프로그램을 통해 문서를 오픈할 경우에는 내부의 악성 스크립트가 동작하지 않지만, 다음과 같이 Microsoft Word 프로그램을 이용하여 실행 시에는 내부에 포함된 매크로(Macro) 기능 활성화를 유도하여 감염이 이루어질 수 있습니다.
Microsoft Word 프로그램을 통해 오픈한 상태에서 텍스트는 표시되지 않는 것처럼 보여주며, 매크로를 실행해야지 볼 수 있는 것처럼 구성되어 있습니다.
기본적으로 MS Word 프로그램은 보안상의 이유로 매크로 기능을 사용할 수 없도록 설정되어 있으므로 문서를 오픈 시 매크로 기능을 사용하도록 유도할 경우에는 악성 문서일 가능성이 매우 높으므로 주의하시기 바랍니다.
매크로 기능을 사용할 경우 임시 폴더에 rdFVJHkdsff.vbe 파일(SHA-1 : b2a234246d35bcf24cec6ead5e80011e936f31e6 - ESET : VBS/TrojanDownloader.Agent.NZU)을 생성 및 실행하는 동작이 이루어지며 테스트 환경에서는 오류가 발생하여 더 이상의 진행은 이루어지지 않았습니다.
VBScript로 작성된 rdFVJHkdsff.vbe 파일은 난독화가 심하게 이루어져 있으며, 만약 정상적으로 동작할 경우 다음과 같은 외부 서버와의 통신을 통해 추가적인 악성 파일을 다운로드할 수 있습니다.
- 악성 파일 (SHA-1 : c075fe462b1254d74798337b71ef1b82a81c4bef) - ESET : a variant of Win32/Kryptik.ERPT
이를 통해 Locky 랜섬웨어(Ransomware)와 같은 악성 파일 다운로드 및 실행을 통해 중요 문서, 사진 등의 파일을 암호화하여 금전을 요구하는 사이버 범죄 행위로 연결될 수 있습니다.
그러므로 해외에서 발송되는 첨부 파일이 동봉된 메일을 수신한 경우에는 호기심에라도 첨부 파일을 실행하여 랜섬웨어(Ransomware) 감염으로 피해를 입지 않도록 주의하시기 바랍니다.