엑셀의 VBA 기능 악용해 퍼진 후 드리덱스 멀웨어 심어
매크로 악용 사례 2013년 이후 꾸준한 상승세

[보안뉴스 문가용] MS 오피스의 매크로 기능을 악용해 사라진 줄 알았던 멀웨어가 다시 한 번 기승을 부리고 있는 것이 포착되었다. 이 멀웨어는 뉴트리노(Neutrino) 혹은 카시뎃(Kasidet)이라는 이름을 가지고 있으며, 지스케일러(Zscaler)라는 보안 업체가 최근 이 멀웨어의 흔적을 발견했다. 뉴트리노는 VBA와 관련이 있는 멀웨어로 18개월 만에 다시 나타난 것이라고 지스케일러는 보고하고 있다.

카시뎃·뉴트리노는 그 자체로는 백도어의 일종으로 최근 수개월째 금융권에서 활발하게 활동 중인 드리덱스(Dridex)라는 멀웨어와 긴밀한 관계에 있다. 카시뎃이 악성 매크로를 통하여 시스템에 침투한 후 드리덱스를 심는 것.

“지난 2주 동안 악성 VBA 매크로를 통한 카시뎃 백도어의 확산이 급격히 늘었습니다. 그리고 카시뎃이 지나간 자리에는 드리덱스가 나타나고요. 현재까지 발견된 바 이 악성 코드들은 피싱 이메일에 첨부된 악성 파일의 형태로 퍼져나가고 있습니다.” 지스케일러의 설명이다.

최근 발견된 카시뎃의 변종에는 크게 두 개의 정보 탈취 기능이 탑재되어 있다. 1번 기능은 이른바 브라우저 후킹(browser hooking)이라는 것이며 2번 기능은 POS 시스템의 메모리 스크래핑(memory scraping)이다. 점점 두 번째 기능을 많이 활용하는 추세라고 지스케일러의 연구원들은 추가로 설명한다.

“비교적 오래된 멀웨어에 POS를 공격하는 기능이 결합된 건 새롭게 발견된 패턴입니다. 하지만 POS가 얼마나 취약하고, POS를 통해 유통되는 정보가 얼마나 ‘먹음직스러운’ 것인지를 생각해보면, 그다지 놀라운 현상도 아닙니다. 이제 해커들 사이에서 여러 가지 기술을 혼합해 사용하는 게 평범한 일이 되어버렸다는 또 다른 지표입니다.” 이는 트렌드마이크로(TrendMicro)의 설명이다.

지스케일러의 연구원들은 카시뎃의 부활이 다만 그 자체로 문제가 아니라 수개월째 계속되고 있는 드리덱스의 연장선이라는 점과 MS 오피스의 매크로가 자꾸만 악용되고 있다는 점에서 더 큰 심각성을 내포한다고 평가한다. 이 현상은 당분간 계속될 거라는 암울한 전망도 함께 내비쳤다.

맥아피(McAfee)에서도 보고서를 통해 오피스 매크로를 악용하는 멀웨어가 지난 18개월 동안 꾸준히 증가해왔다고 발표했다. 2013년에 살짝 주춤한 뒤로는 계속해서 상승세를 이어가고 있다는 내용이다. 그리고 그 상승세는 2015년말에 속도를 더해 정점을 찍었다. “어떤 기술이 오랜 기간 계속해서 증가하면 해커들 사이에서 ‘보편화’되는데, 그 결과가 2016년에 나타날 예정입니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>