원노트 파일로 눈길 돌리는 공격자들...아직 피해는 미미

요약 : IT 외신 블리핑컴퓨터에 의하면 이모텟(Emotet)이라는 악명 높은 멀웨어가 MS 원노트 파일 형태로 악성 이메일에 첨부되어 퍼지고 있다고 한다. MS가 매크로 관련 정책을 바꾼 이후 일부 공격자들이 원노트를 여러 가지로 실험하는 중인데, 여기에 이모텟도 참여한 것으로 보인다. 이들의 가짜 원노트 파일을 열면 파일이 보호되어 있으니 View 버튼을 더블클릭하라는 메시지가 뜬다. 하지만 해당 버튼 뒤에는 몰래 임베드 된 파일들이 숨겨져 있다. 따라서 피해자는 버튼을 누르는 게 아니라 문서를 활성화시키는 것이 된다.


배경 : 원래 이모텟은 MS 워드와 엑셀 문서를 통해 피해자들을 감염시키던 멀웨어였다. 피해자가 문서를 열면 매크로를 발동시켜 악성 페이로드를 피해자의 시스템에 심는 방식이었다. 하지만 MS가 워드와 엑셀의 매크로 관련 정책을 변경시켜 이러한 공격이 불가능하게 되자 원노트로 눈길을 돌린 것이다. 원노트에는 매크로 미발동 정책이 적용되지 않고 있다.

말말말 : “아직 원노트로 중요 파일을 주고 받으며 업무를 보는 사례는 그리 많지 않습니다. 따라서 이번 공격에 당하는 사람은 그리 많지 않을 것으로 봅니다. 다만 파일을 아예 살피지도 않고 다운로드 받는 사람들이라면 원노트 사용자가 아니더라도 당할 수 있습니다.” -블리핑컴퓨터-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>