MS가 매크로 자동 실행 차단하자 새로운 수법으로 맞서기 시작한 공격자들

요약 : 보안 블로그 시큐리티어페어즈에 의하면 드리덱스(Dridex)라는 뱅킹 멀웨어의 새로운 변종이 나왔으며, 이 변종은 맥OS를 집중적으로 노린다고 한다. 맥오(Mach-O) 실행파일 형태로 퍼지고 있는데, 그 안에는 악성 매크로가 자동으로 실행되는 오피스 워드 문서가 하나 포함되어 있다. 또한 피해자의 ‘현재 폴더’ 내에 있는 모든 doc 파일을 찾아 덮어 쓰기를 하면서 악성 매크로를 삽입한다. MS가 매크로가 자동으로 발동되지 않도록 오피스 정책을 바꿨는데, 이렇게 모든 파일에 악성 매크로가 삽입된다면 사용자가 어느 순간 스스로의 doc 문서를 열다가 매크로를 발동시키게 될 수밖에 없다.


배경 : 악성 매크로는 원격 서버에 접속해 추가 파일을 피해자의 시스템에 심는 기능을 가지고 있다. 이 중에는 맥OS에서는 실행되지 않는 윈도 실행파일도 포함되어 있다. 이를 보면 공격자들이 비슷한 공격을 윈도에서도 실행하려 준비 중에 있다는 걸 알 수 있다.

말말말 : “현재 맥OS 사용자들 중 이번 드리덱스에 당한 사람은 그리 많지 않습니다. 마지막으로 전달되는 페이로드가 .exe 파일, 즉 맥OS에서 실행되지 않는 파일이기 때문입니다.” -트렌드 마이크로(Trend Micro)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>