파이어아이는 우리나라와 미국의 항공, 국방, 제조 분야를 공격하는 ‘폼북(FormBook)’ 멀웨어를 발견했다고 밝혔다.

공격자들은 다운로드 링크가 걸린 PDF 문서, 악성 매크로가 포함된 DOC·XLS 파일, 악성 실행 파일을 포함한 압축 파일 등을 통해 폼북 멀웨어를 확산시켰다.

파이어아이가 발견한 폼북 멀웨어는 PDF를 이용해 페덱스나 DHL의 배송 양식을 띄우고, 가짜 배달 알림을 사용했다. 주문·결제 등에서도 많이 발견됐다.

PDF, DOC, ZIP, RAR, ACE, ISO, 그리고 다운로드 가능한 링크, 매크로 혹은 실행 가능한 페이로드가 첨부된 압축 파일과 같이 다양한 형태의 파일을 통해 배포됐다.

다양한 프로세스에 침투돼 키스트로크 로깅을 위해 펑션 후크(function hook)를 설치하고 클립보드 콘텐츠를 탈취하며 HTTP 세션에서 데이터를 추출했다. 또한 C2 서버에서 커맨드를 실행할 수 있는데, 커맨드를 통해 파일을 다운로드 및 실행하고, 시스템을 셧다운 하거나 리부트 그리고 패스워드 및 쿠키 정보를 탈취했다.

파이어아이는 지난 5주 동안 폼북이 나노코어(NanoCore)와 같은 다른 악성 소프트웨어와 함께 다운로드 된 사실을 발견했다. 폼북 감염으로 얻어진 데이터와 인증서 등은 신분 도난, 피싱, 뱅킹 관련 사기, 인출 같이 추가적인 사이버 범죄로 악용될 수 있다는 점에서 주의가 필요하다.

김선애 기자 다른기사 보기