악성 MS 워드문서 통해 퍼지던 구로더...이제는 아카이브에 숨긴 NSIS 실행파일 이용

요약 : 보안 외신 해커뉴스에 의하면 미국과 한국을 비롯해 독일, 사우디아라비아, 대만, 일본의 전자상거래 산업을 위협하는 멀웨어가 나타나 활동 중이라고 한다. 이 멀웨어의 이름은 구로더(GuLoader)인데, 원래는 멀웨어가 포함된 MS 워드 문서를 통해 퍼졌으나, 이번에는 NSIS 실행파일을 이용하여 피해자들을 감염시키고 있다고 한다. 악성 실행파일은 압축 파일이나 이미지 파일 안에 숨겨져 전파된다.


배경 : NSIS 실행파일은 윈도 OS용 설치파일을 만드는 데 사용되는 스크립트 기반 오픈소스 시스템이다. 구로더는 일종의 다운로더로 추가 악성 페이로드를 다운로드하여 피해를 확대한다. 2022년 한 해 동안 구로더 운영자들은 NSIS 실행파일을 활용하는 전략을 계속해서 가다듬어 왔다고 한다.

말말말 : “공격자들은 하나의 전략에만 머무르지 않습니다. 계속해서 변화함으로써 발전하는 탐지 기술을 이겨냅니다. 스스로 공격의 동기를 잃지 않는 한 이들의 공격은 멈추지 않습니다.” -트렐릭스(Trellix)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>