MSI, DMG 형태 파일 설치 시 다운로더 악성코드 동작...인포스틸러 악성코드 최종 실행

[보안뉴스 김영명 기자] 3CX DesktopApp을 통해 공급망 공격이 감행된 것으로 드러났다. 해당 소프트웨어는 통화, 화상 회의 등 사용자에게 여러 통신 기능을 제공하며 마이크로소프트 윈도(Windows), 애플 맥(MAC) 운영체제 환경에서 구동이 가능하다. 현재 3CX에서는 새로운 인증서를 발급하기 위해 준비 중이며, 새 인증서가 나오기 전까지는 다른 소프트웨어로 대체해 사용할 것을 안내하고 있다.


안랩 ASEC 분석팀에 따르면 3CX DesktopApp을 통해 유포된 악성코드는 악의적인 기능을 수행하는 모듈들을 포함한 MSI, DMG 형태의 설치 파일인 것으로 확인됐다. 설치 파일인 3CXDesktopApp.exe 파일은 악성 모듈인 ffmpeg.dll을 로드한다. 그 이후 d3dcompiler.dll를 추가 로드해 메모리 상에서 실행한다. 메모리 상에서 실행되는 악성코드는 다운로더로서 최종으로 정보탈취형 인포스틸러 악성코드를 내려받아 실행하는 것으로 알려졌다.

이번 공급망 공격에 취약한 버전은 윈도 운영체제에서는 Electron Windows application shipped in Update 7의 18.12.407 버전 및 18.12.416 버전이다. 또한, 맥 운영체제 대상 제품은 Electron macOS application의 18.11.1213 버전, 18.12.402 버전, 18.12.407 버전, 18.12.416 버전 등 4종이다.

이번 공급망 공격에 따른 악성코드 감염을 막기 위한 방안으로는 먼저 3CX DesktopApp 프로그램을 삭제하는 방법이 있다. Windows 환경 가이드를 통해 윈도 키 → ‘제어판’ 타자 입력해 실행 → 프로그램 및 기능 → 3CX Desktop App 마우스 우클릭을 통해 3CX DesktopApp 파일을 제거할 수 있다.

두 번째로 3CX에서는 PWA 애플리케이션을 대신 사용할 것을 권장하고 있다. 3CX 홈페이지에서 PWA 설치 가이드를 통해 관련 내용을 확인할 수 있다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>