지난 6월에 발견된 스파이웨어, 새로운 모습으로 등장
배포 방식과 명령어 전달 방식에 약간의 변화...본질은 같아

[보안뉴스 문가용 기자] 에이전트 테슬라(Agent Tesla)라는 스파이웨어의 새로운 버전이 발견됐다. 이 변종은 악성 MS 워드 문건을 통해 퍼지고 있다고 한다. 보안 업체 포티넷(Fortinet)이 발견했다.


에이전트 테슬라가 처음 세상에 공개된 것은 지난 6월의 일이다. 당시도 MS 워드 문서의 형태로 퍼지고 있었는데, 해당 문서들에는 자동실행 VBA 매크로가 포함되어 있었다. 피해자가 이 문서를 다운로드 받아 열면 ‘enable content’라는 팝업이 뜬다. 사용자가 확인을 누르면 에이전트 테슬라가 사용자 몰래 설치되기 시작한다.

그러나 이번에 발견된 에이전트 테슬라가 담긴 악성 문건들은 enable content를 사용자에게 요청하지 않는다. 대신 파란색 아이콘을 더블클릭해서 clear view 기능을 활성화하라고 요구한다. 사용자가 이에 응하면 엠베드 된 객체로부터 POM.exe 파일이 추출되고, 시스템 내 임시 폴더에 저장된 후 실행된다.

POM.exe는 비주얼 베이직으로 작성된 실행파일로, 일종의 설치파일 기능을 담당한다고 포티넷은 분석한다. “POM.exe를 통해 최종 페이로드가 다운로드 되고 결국 에이전트 테슬라가 설치됩니다.”

에이전트 테슬라는 스파이웨어로 키스트로크, 시스템 클립보드, 스크린샷을 수집하고, 설치된 다양한 애플리케이션들로부터 크리덴셜도 모은다. 여러 개의 쓰레드들을 만들어 악성 행위들을 실시하며, 이 때 main 함수에 타이머 기능들도 심어둔다.

변종이라고는 하지만 본질적인 기능 자체는 이전 버전과 다르지 않다고 포티넷은 설명한다. “다만 SMTPS를 사용해 수집한 정보를 공격자의 이메일 편지함으로 전송한다는 것은 다른 점입니다. 이전 버전은 HTTP POST 형식의 요청문을 통해 정보를 전송했거든요.”

포티넷의 분석가들은 “공격자들인 전송하는 SMTP 메소드에는 Password Recovered, Screen Capture, Ketstrokes 등이 있다”며 “명령은 이메일의 Subject 필드에 주로 포진되어 있다”고 설명한다.

공격자들은 무료 조호(Zoho) 이메일 계정을 이번 공격에 활용하고 있다. 포티넷은 조호 측에 이러한 사실을 밝혀 서비스가 악용되고 있음을 알렸다고 한다. 하지만 아직 조호 측의 응답은 없었다고 한다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>