북한과 연관된 주제를 언급한 HWP파일이 악성코드를 품고 유포됐다. 파일을 열면 사용자 모르게 PC 정보와 화면 캡처 이미지 파일을 외부로 유출시킨다.
보안전문업체 하우리(대표 김희천)는 최근 이메일 첨부 형태로 '북한민주화와 민주주의적 전략.hwp'이라는 파일이 유포됐는데, 이 파일에 포함된 악성코드를 발견했다고 지난 26일 밝혔다.
첨부된 HWP 파일은 취약점을 이용해 정상 프로그램인 '윈도스크립트호스트(wscript.exe)'를 실행한다. 이후 이 프로세스에 정보탈취 악성코드를 삽입한다. 악성코드는 감염PC 정보, PC화면 캡처 이미지 파일, 2가지를 국내 한 쇼핑몰 서버로 보낸다. 또 감염PC에 악성코드를 추가로 내려받는 동작을 수행할 수도 있다.
관련기사
- "북한발 악성메일, 5년간 공공·민간 종사자 785명 받아"2017.01.27
- "국내 통일·대북 연구기관 노린 악성HWP파일 공격 주의"2017.01.27
- 탈북자 정보사칭 악성 HWP파일, 1년전에도2017.01.27
- '한국공군 위상' 위장한 악성 HWP파일 발견2017.01.27
하우리 최상명 CERT실장은 "최근 유사한 공격이 지속적으로 발견되고 있다"며 "개인 사용자들은 무료 취약점 공격 사전차단 솔루션을 이용해 감염을 예방할 수 있다"고 말했다.
현재 이 악성코드를 하우리 바이로봇 APT실드로 사전차단하거나 바이로봇 백신으로 탐지 및 치료할 수 있다.
