키패스, 솔라윈즈, 빔, PDF 리더 등 유명 서비스로 위장한 멀웨어

요약 : IT 외신 블리핑컴퓨터에 의하면 롬콤랫(RomCom RAT)이라는 멀웨어를 운영하는 자들이 여러 유명 서비스들을 사칭해 멀웨어를 유포하고 있다고 한다. 특히 솔라윈즈(SolarWinds), 키패스(KeePass), PDF 리더 프로(PDF Reader Pro), 빔(Veeam) 등을 사칭하고 있는데, 사용자들을 속이기 위해 이러한 서비스들이 배포되는 공식 웹사이트와 똑같이 생긴 사이트를 개설했다고 한다. 사이트 주소도 대단히 비슷하게 설정함으로써 타이포스쿼팅 공격 가능성을 높이기도 했다.


배경 : 롬콤랫은 이전에 우크라이나 군을 정찰하기 위한 목적으로 활용된 바 있다. 지금은 여러 유명 서비스와 비슷한 사이트를 만들어 서비스의 다운로드를 유도하고 있어, 딱히 우크라이나 군을 집중적으로 노리고 있다고 보기는 힘들다. 사이트에 속아 다운로드 버튼을 누르면 롬콤랫이 설치된다.

말말말 : “쿠바(Cuba) 랜섬웨어의 파트너 조직 중 하나인 트로피칼스콜피우스(Tropical Scorpius)와 관련이 있다는 이야기가 있기도 하지만, 아직까지 공격자들을 특정할 만한 정보가 발굴되지는 않았습니다.” -블랙베리(BlackBerry)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>