이력서로 위장한 악성 워드문서, External URL 링크 활용해 매크로 코드문서 내려받아
안랩 ASEC “다양한 악성코드가 이력서 위장해 유포, 각별한 주의 필요”

[보안뉴스 박은주 기자] 이력서로 위장한 악성 워드문서로 록빗(LockBit) 랜섬웨어가 유포되고 있어 각별한 주의가 요구된다. 이력서로 위장해 랜섬웨어를 유포하는 방식은 록빗의 오랜 수법으로 알려져 있다. 특히, 워드 문서의 External URL 링크를 활용하는 방식을 사용한다.


안랩 시큐리티 인텔리전스 센터 ASEC에 따르면 악성 워드 문서는 ‘김**.docx’ 혹은 ‘밝은 미소와 친절한 태도를 갖춘 인재.docx’ 등의 파일명으로 소개돼 있었다. 워드 문서 내부 ‘\word\_rels\settings.xml.rels’ 파일에는 ‘External Link’가 포함돼 있어 문서 실행 시에 외부 URL에서 추가 악성 매크로 코드가 존재하는 문서 파일을 내려받는다. 문서 속성 확인 시, 과거 유포하던 문서의 속성과 대부분 일치하는 것으로 보아 과거에 사용하던 문서를 재사용하는 것으로 추정된다.


본문에는 다음과 같이 악성 VBA 매크로가 실행될 수 있도록 유도하는 이미지가 삽입되어 있다. 매크로 실행 시 External URL에서 다운로드한 문서 파일에 포함된 VBA 매크로가 실행된다.


2022년 확인된 VBA 매크로와 거의 유사한 형태로 난독화돼 있으며, 최종적으로 파워쉘(powershell)을 실행해 록빗 랜섬웨어를 다운로드 및 실행하게 된다. 이때 다운로드한 ‘LockBit 3.0 랜섬웨어’는 실행 시 사용자 PC에 존재하는 파일을 암호화한다.

ASEC는 록빗 랜섬웨어 이외에도 다양한 악성코드가 이력서를 위장해 유포되기 때문에 각별한 주의가 필요하다고 당부했다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>