자동 압축 해제 기능 있는 RAR 속에 들어 있는 멀웨어들

요약 : 보안 외신 해커뉴스에 의하면 악명 높은 멀웨어인 이모텟(Emotet)을 활용한 새로운 캠페인이 시작됐다고 한다. 현재 이모텟의 운영자들은 비밀번호가 걸린 RAR 압축파일을 유포하고 있다고 하는데, 이 아카이브 내에는 코인마이너(CoinMiner)와 콰사르랫(QuasarRAT)과 같은 멀웨어들이 내포되어 있다고 한다. RAR 파일 자체는 인보이스라는 제목이 달린 피싱 메일의 첨부파일 형태로 퍼지고 있어, 사용자들의 주의가 요망된다. 


배경 : 코인마이너는 암호화폐를 채굴하는 멀웨어이고, 콰사르랫은 원격에서 제어가 가능한 일종의 백도어다. 비밀번호가 걸린 압축파일이 공격에 활용될 경우 보통은 피해자가 파일을 다운로드 하는 데에 한 번, 비밀번호를 입력하여 압축을 푸는 데에 한 번, 피해자가 개입해야 한다. 하지만 이번에는 비밀번호가 자동으로 입력되어 압축이 풀리게 함으로써 피해자의 개입을 최소화 하고 있다. 

말말말 : “자동으로 압축이 해제되는 파일은 사용자들에게 매우 편리한 활용성을 제공하긴 하지만, 공격자들에게 역시 편리한 공격 메커니즘을 만들어주는 것이기 때문에 양면의 날과 같은 존재입니다” -트러스트웨이브(Trustwave)-
[문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>