이메일에 자바스크립트(js) 파일이 첨부돼 있다면 클릭하지 않는 것이 좋다. 랜섬웨어를 비롯한 각종 사이버 공격이 js 파일로 유포되기 때문이다. 특히 최근 가장 악질적인 랜섬웨어 공격에 사용된 악성코드가 js 파일로 이메일에 첨부된 것이었으며, js를 이용하는 공격 비중은 지속적으로 높아지고 있다.
유럽 엔드포인트 보안 전문 업체인 이셋(ESET)의 국내 법인 이셋코리아(대표 김남욱)는 랜섬웨어 및 각종 광고-클리커 감염의 시작이 되는 ‘네머코드(Nemucod)’가 확산되고 있으며, 실행 가능한 .js 파일이 이메일에 첨부돼 유포된다고 설명했다.
네머코드는 대표적인 랜섬웨어 다운로더 중 하나로 알려지고 있으며, 광고-클리커 악성코드인Kovter를 다운로드하는 사례가 다수 보고되고 있다. 이러한 현상은 랜섬웨어 감염 등 악성 다운로더를 이용한 공격 형태가 피해자에게 랜섬웨어 뿐만 아니라 광고-클리커 등 추가 악성코드를 포함하는 악성코드 패키지로 제공하는 형태로 발전되고 있음을 보여준다. 추가 악성코드는 랜섬웨어 활동에 대한 주의를 분산시키는 효과도 얻을 수 있다.
공격자는 실행 가능한 .js 파일 형태의 다운로더가 첨부된 이메일을 발송하고, 피해자가 이를 실행하면 다섯 개의 파일을 한 번에 다운로드 한다. 이 중 처음 두 개는 Win32/Kovter 및 Win32/Boaxxe 로 검출하는 광고-클리커이며, 나머지 세 파일은 컴퓨터 내 중요한 파일들을 찾아 이를 암호화하는 랜섬웨어와 관련이 있다.
네머코드는 랜섬웨어 실행에 필요한 PHP 인터프리터와 추가 PHP 라이브러리를 다운로드해 설치한 후, 최종적으로 PHP/Filecoder.D로 진단되는 랜섬웨어 자체를 다운로드한 후 파일을암호화하는 악성 행위를 시작한다.
랜섬웨어가 실행되면 MS 오피스 파일, 이미지, 동영상, 사운드 파일 등을 포함해 약 120 여 종류의 확장자를 가진 파일들을 암호화 한 후 .crypted 확장자를 부여한다. 암호화가 완료되면 네머코드는 몸값 요청 텍스트 파일을 생성하며, 최종적으로 PHP 인터프리터의 라이브러리 및 랜섬웨어는 파일 시스템에서 삭제된다.
이와 같은 전형적인 랜섬웨어 감염 페이로드 이외에, Boaxxe는 크롬과 파이어폭스 등 널리 사용되는 브라우저 확장 모듈을 다운로드하거나 파일을 설치 및 실행할 수 있는 원격 제어 백도어도 함께 감염되며, 감염된 PC 가 특정 웹사이트로의 대량의 트래픽이나 클릭을 발생시킴으로써 수익을 얻을 수 있는 프락시 서버 역할 등 악의적인 목적으로 사용될 수 있도록 하기 위해 C&C 서버와 통신하는 트로이 목마이다.
이 밖에도 추가적인 네머코드 활동이 브라질 등 남아메리카에서 관찰된다. Win32/Spy.Banker.ADEA 로 진단되며, 포르투갈 언어의 운영체제에서 브라우저를 이용한 금융 거래 정보를 유출한다.
김남욱 이셋코리아 대표는 “스크립트 수준의 다운로더는 시스템에 직접적으로 피해를 주지 않지만, 제 2, 제 3 의 추가 악성코드를 다운로드 할 수 있기 때문에 피해를 예측하기 어렵다. 지금까지는 랜섬웨어 다운로드에 많이 이용됐지만, 이번에 발견된 광고-클리커 및 스파이웨어 이외에도 다양한 악성코드 감염의 통로로 사용될 수 있다는 점을 기억해야 한다”고 말했다.
김 대표는 “스크립트 수준의 악성코드는, 그 자체만으로는 악성 여부를 판단하는 기준이 모호하기 때문에 기존의 악성코드 차단 방법 만으로는 완벽하게 유입을 차단하기 어렵다. 따라서 출처가 불분명한 이메일이나 웹사이트 접속을 자제하는 등의 기본적인 보안 활동이 필요하며, 스크립트가 포함된 이메일의 유입을 차단하거나, 스크립트에 의한 추가 파일 다운로드 등의 행위를 차단하는 등의 보다 적극적인 대응과 방어가 필요하다”고 설명했다.
