랜섬웨어 및 각종 광고-클리커 감염의 시작이 되는 ‘네머코드(Nemucod)’ 다운로더가 다시 확산되고 있어 각별한 주의가 요구된다.
지금까지 네머코드는 대표적인 랜섬웨어 다운로더 중 하나로 알려져 있었으나 광고-클리커 악성코드인 Kovter를 다운로드하는 사례가 다수 보고되고 있다. 이러한 현상은 랜섬웨어 감염 등 악성 다운로더를 이용한 공격 형태가 피해자에게 랜섬웨어 뿐만 아니라 광고-클리커 등 추가 악성코드를 포함하는 악성코드 패키지로 제공하는 형태로 발전되고 있음을 보여주고 있으며, 아울러, 추가 악성코드는 랜섬웨어 활동에 대한 주의를 분산시키는 효과도 얻을 수 있다.
이전의 랜섬웨어 감염 벡터와 동일하게 피해자는 먼저 실행 가능한 .js 파일 형태의 다운로더가 첨부된 이메일을 수신하게 되며 이를 실행하면 다섯 개의 파일을 한 번에 다운로드 한다. 이 중 처음 두 개는 ESET에 의해 Win32/Kovter 및 Win32/Boaxxe로 검출되는 광고-클리커인데, 하지만 이는 시작에 불과하며 나머지 세 파일들은 컴퓨터 내 중요한 파일들을 찾아 이를 암호화하는 랜섬웨어와 관련이 있다.
네머코드는 우선 랜섬웨어 실행에 필요한 PHP 인터프리터와 추가 PHP 라이브러리를 다운로드하여 설치한 후, 최종적으로 ESET에 의해 PHP/Filecoder.D 로 진단되는 랜섬웨어 자체를 다운로드한 후 파일을 암호화하는 악성 행위를 시작한다. 랜섬웨어가 실행되면 MS Office 파일, 이미지, 동영상, 사운드 파일 등을 포함해 약 120 여 종류의 확장자를 가진 파일들을 암호화 한 후 ".crypted"확장자를 부여한다.
암호화가 완료되면 네머코드는 몸값 요청 텍스트 파일을 생성하며 최종적으로 PHP 인터프리터의 라이브러리 및 랜섬웨어는 파일 시스템에서 삭제된다. 이와 같은 전형적인 랜섬웨어 감염 페이로드 이외에, Boaxxe는 크롬과 파이어폭스 등 널리 사용되는 브라우저 확장 모듈을 다운로드하거나 파일을 설치 및 실행할 수 있는 원격 제어 백도어도 함께 감염되며, 감염된 PC가 특정 웹사이트로의 대량의 트래픽이나 클릭을 발생시킴으로써 수익을 얻을 수 있는 프락시 서버 역할 등 악의적인 목적으로 사용될 수 있도록 하기 위해 C&C 서버와 통신하는 트로이 목마이다.
이밖에도 추가적인 네머코드 활동이 브라질 등 남아메리카에서 관찰되었는데, ESET에 의해Win32/Spy.Banker.ADEA로 진단되며, 포르투갈 언어의 운영체제에서 브라우저를 이용한 금융 거래 정보를 유출한다.
이셋코리아 김남욱 대표는 "스크립트 수준의 다운로더 감염에 보다 더 주의를 기울여야 한다. 이러한 다운로더가 시스템에 직접적으로 피해를 주지는 않지만, 제2, 제3의 추가 악성코드를 다운로드할 수 있기 때문에 그 피해를 예측하기가 어렵다. 지금까지는 주로 랜섬웨어 다운로드에 많이 이용되었지만, 이번에 발견된 광고-클리커 및 스파이웨어 이외에도 다양한 악성코드 감염의 통로로 사용될 수 있다는 점을 기억해야 한다"고 말했다.
또 "스크립트 수준의 악성코드는, 그 자체만으로는 악성 여부를 판단하는 기준이 모호하기 때문에 기존의 악성코드 차단 방법 만으로는 완벽하게 유입을 차단하기 어렵다. 따라서 출처가 불분명한 이메일이나 웹사이트 접속을 자제하는 등의 기본적인 보안 활동이 필요하며, 스크립트가 포함된 이메일의 유입을 차단한다거나, 스크립트에 의한 추가 파일 다운로드 등의 행위를 차단하는 등의 보다 적극적인 대응과 방어가 필요하다"고 주의를 당부했다.
★정보보안 & IT 대표 미디어 데일리시큐!★