PDF 형태의 원격제어용 악성코드 발견
화제성 높은 서적 악용한 사회공학적 기법 공격

[보안뉴스 권 준 기자] 지난 1월말부터 온라인상에서 ‘Fire & Fury’(화염과 분노) 서적 PDF 파일로 가장한 악성코드가 유포되고 있다고 순천향대 SCH사이버보안연구센터(센터장 염흥열 교수) 측은 밝혔다.


저자 마이크 울프의 이 서적은 미국 트럼프 대통령의 백악관 내막을 공개한 것으로 미국 온·오프라인 상에서 출간 1주일 만에 140만 부 판매를 돌파할 정도로 큰 화제작으로 알려져 있을 뿐만 아니라 영화화도 예정되어 있다. 이러한 이유로 공격자가 PDF 문서 파일에 악성코드를 실어 유포했을 것으로 추정된다.

SCH사이버보안연구센터에서 ‘Fire & Fury’ 서적으로 위장한 악성코드를 입수하여 분석한 결과, 해당 악성코드는 감염된 사용자를 원격제어하는 악성코드이며 만약 감염될 경우, 백도어(Backdoor) 기능을 통해 다른 수많은 악성행위를 가능케 하는 것으로 분석됐다.




해당 악성코드는 exe 형식의 압축파일로 유포되며, 아이콘이 아크로뱃 리더의 PDF 아이콘과 매우 유사하기 때문에 사용자가 인지하지 못한 채 실행될 가능성이 크다. 실제로, 실행 시 자동으로 압축 해제되어 내부 스크립트 코드에 따라 PDF 파일과 악성코드가 동시에 실행되며 겉으로는 PDF 파일만 실행되는 것처럼 보인다.

그러나 내부에서는 방화벽 설정 변경, 키로깅, 화면 캡쳐, USB 감염 레지스트리 설정, 쉘 명령 제어 등의 다양한 악성 행위를 수행하며, 그 결과를 명령제어(C&C) 서버로 전송한다. 또한, 다양한 경로에 숨김 속성으로 자가 복제를 시도하기 때문에 쉽게 지우기 어렵고, 프로세스 보호 목적으로 강제로 종료 시 블루 스크린(BSOD)을 유발시킬 수 있다는 게 센터 측의 설명이다.

순천향대 SCH사이버보안연구센터 임명은 연구생은 “유명 서적을 가장한 악성코드가 사용자를 위협하고 있다”며 “검색 엔진을 통한 배포 사이트에서 유포되는 해적판이 아닌 온·오프라인의 공식적인 곳에서 구매할 것을 권장한다”고 말했다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>