요약 : 보안 외신 해커뉴스에 의하면 새로운 멀웨어가 등장했다고 한다. 유유로더(UULoader)라고 하는데, 이름 그대로 로더 기능을 가진 멀웨어이며 현재는 고스트랫(GhostRAT)이나 미미캐츠(Mimikatz)와 같은 멀웨어를 유포하는 데 사용되고 있다. 특히 동아시아 지역인 한국과 중국에서 피해자들이 속출하고 있다고 한다. 주로 한국과 중국어로 된 정상 애플리케이션으로 위장된 상태로 피해자들의 설치를 유도하는 식으로 퍼지고 있는데, 가짜 크롬 업데이트 형식을 취한 경우가 꽤 많이 발견되고 있다고 한다.


배경 : 유유로더의 핵심 파일들은 .cab 파일 안에 압축되어 있다. 압축을 풀면 하나의 .exe 파일과 하나의 .dll 파일이 나온다. 하나는 DLL 파일을 로딩하는 데 사용되며, 로딩된 DLL 파일은 최종 페이로드를 가져와 실행시키는데 이것이 고스트랫이나 미미캐츠일 경우가 많다. 어떤 유유로더 샘플의 경우 가짜 vbs 파일을 실행시켜 피해자의 시선을 뺏기도 한다.

말말말 : “크롬 업데이트를 위장한 멀웨어 유포 전략도 종종 눈에 띕니다. 공격자들이 유명 애플리케이션들의 이름을 가져와 자신들의 목적을 달성하는 데 사용하는 건 어제 오늘 일이 아니죠. 최근에는 MS 제품들과 크롬이 이런 식으로 제일 많이 악용됩니다.” -해커뉴스-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>