MS 정책 바뀌면서 원노트를 악용하려는 시도 증가하고 있어

요약 : IT 외신 블리핑컴퓨터에 의하면 최근 마이크로소프트 원노트의 파일을 통해 멀웨어가 유포되는 사건이 많아지고 있다고 한다. 원노트 파일은 .one이라는 확장자를 가지고 있다. 공격자들은 기밀을 포함한 것처럼 원노트 문서를 정교하게 만들어 피해자에게 전달하여 파일을 열도록 한다. 파일을 열면 문서 안의 내용이 잘 보이지 않는다. 기밀이기 때문이다. 이를 열람하려면 ‘더블 클릭 하세요’라는 버튼을 눌러야 하는데, 사실 이 버튼 밑에는 문서 안에 임베드 된 다른 파일들이 숨겨져 있다. 피해자가 버튼을 클릭하면 임베드 된 악성 파일이 실행되며 공격이 시작된다.


배경 : 워드와 엑셀의 매크로 기능을 악용하던 해커들이지만, MS가 최근 정책을 바꾸면서 이 방법에 제동이 걸렸고, 그러면서 공격자들은 원노트로 눈을 돌리게 됐다. 최근 원노트 파일을 통해 칵봇(QakBot)과 블랙바스타(BlackBasta) 랜섬웨어에 전염되는 사례가 나오기도 했다.

말말말 : “이메일 게이트웨이에서 .one 파일들을 차단하도록 설정하는 게 제일 좋습니다. 아직 업무 환경에서 대부분의 기업이나 기관들이 원노트를 널리 활용하고 있지는 않기 때문에 생산성에 큰 영향을 미치지 않습니다.” -블리핑컴퓨터-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>