요약 : 보안 외신 해커뉴스에 의하면 MSHTML에서 발견된 취약점을 해커들이 활발히 익스플로잇 하기 시작했다고 한다. 특히 머크스파이(MerkSpy)라고 하는 감시 도구를 유포하는 데에 MSHTML이 활용되는 중이라고 한다. 주로 캐나다, 인도, 폴란드, 미국에서 피해가 발생하는 중이다. 문제의 취약점은 CVE-2021-40444로, 원격 코드 실행 공격을 가능하게 한다. 이미 2021년 9월에 패치가 됐는데 여전히 공격에 활용되고 있다는 건 아직도 패치를 하지 않은 사용자들이 많다는 뜻이다.


배경 : 머크스파이는 사용자의 온라인 행동들을 몰래 관찰하고 추적하기 위해 만들어진 스파이웨어다. 민감한 정보를 확보하고, 피해자 시스템을 조작해 공격 지속성을 확보하는 데에도 활용된다. 즉 스파이웨어이면서 백도어이기도 한 것이다. 이번 캠페인은 소프트웨어 엔지니어링 분야의 구인과 관련된 가짜 MS 워드 문서로부터 시작되기 때문에 이런 식의 접근에 주의를 기울일 필요가 있다.

말말말 : “현재까지 공격자들은 머크스파이를 통해 구글 크롬 브라우저의 로그인 크리덴셜, 각종 스크린샷, 키스트로크 등을 훔치는 것으로 분석되고 있습니다. 그리고 이 정보들은 하나의 URL로 전송되고 있습니다.” -해커뉴스-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>