2024-03-28 21:40 (목)
2017년 상반기, 일본내 정보탈취 악성코드와 랜섬웨어 공격 분석
상태바
2017년 상반기, 일본내 정보탈취 악성코드와 랜섬웨어 공격 분석
  • 길민권 기자
  • 승인 2017.08.18 14:11
이 기사를 공유합니다

ha-2-11.jpg
최근 일본의 캐논 IT 솔루션스는 2017년 상반기 악성코드 동향에 대해 발표했다. 2017년 상반기, 일본에서 유포된 악성코드 특징으로 정보탈취형 악성코드 'Ursnif’의 등장, ‘WannaCryptor’ 등의 랜섬웨어의 등장을 들었다. 또한 일본의 악성코드 탐지 상황을 월별로 살펴본 결과, 2017년 상반기, 3월부터 6월까지 평균 39%씩 상승했다고 밝혔다.

2017년 상반기, 일본에서 탐지된 악성코드 Top10을 살펴본 결과, 대부분 이메일 첨부파일을 통한 다운로더에 의한 경우가 많았으며, 상위 10종중 3종은 4월부터 6월에 걸쳐서 공격이 관찰되고 있다고 밝혔다. 이들은 모두 스팸메일을 통해 유포되고 있는 것으로 확인되었다.

이번에 일본에서 탐지된 악성코드 상위 10종과 과거의 악성코드들을 비교한 결과, 감염 목적은 동일하지만 작성된 언어 및 파일형식에 차이를 보인다고 밝혔다. 다음은 2017년 상반기 일본내 검출 악성코드 상위 10종에 대한 내용이다.

1. JS/Danger.ScriptAttachment: 다운로더, 주로 랜섬웨어, 정보탈취 악성코드 등을 내려받음

2. JS/TrojanDownloader: 다운로더, 주로 랜섬웨어, 정보탈취 악성코드 등을 내려받음

3. PDF/TrojanDropper.Agent: 다운로더, 주로 랜섬웨어, 정보탈취 악성코드 등을 내려받음

4. VBA/TrojanDownloader: 다운로더, 주로 랜섬웨어, 정보탈취 악성코드 등을 내려받음

5. Win32/Kryptik: 정보탈취 악성코드, 주로 인터넷 뱅킹 등 계정정보를 타겟으로 함

6. Win32/Toolbar: 애드웨어로, 주로 툴바에 개인정보를 탈취하는 기능이 포함되어 있음

7. JS/Danger.DoubleExtension: 다운로더

8. Win32/Spy.Ursnif: 정보탈취 악성코드, 주로 인터넷 뱅킹 등 계정정보를 타겟으로 함

9. HTML/FakeAlert: 브라우저 상에서 가짜 경고화면 표시하여 사용자의 금전 지불을 유도

10. PowerShell/TrojanDownloader: 다운로더, 주로 랜섬웨어, 정보탈취 악성코드 등을 내려받음

주로 이메일을 통한 '다운로더'의 감염이 대부분을 차지하고 있는 것으로 조사됐다.

이메일을 통한 공격에 가장 많이 사용된 언어는 JavaScript다. 하지만 Visual Basic과 PowerShell을 통한 악성코드들도 증가한 것을 알 수 있다.

구체적으로, PowerShell을 악용해 Excel과 Word에 악성 매크로를 삽입한 악성코드가 6월 이후에 증가하고 있으며, 또한 PowerShell을 이용한 악성 스크립트 역시 5월 말부터 증가하고 있다.

악성파일들은 주로 PDF 파일을 위장하고 있으며, 사용자가 이메일에 첨부된 악성 PDF를 실행하면 악성코드가 다운로드 되게된다.

2017년 상반기에 새로 등장한 정보탈취 악성코드 ‘Ursnif’는 '일본어 이메일을 통한 공격', '정상파일 위장', '사용자 정보 탈취'의 특징을 갖고 있다.

‘Ursnif’ 악성코드는 자연스러운 일본어 본문과 사용할 법한 서명이 포함되어 있는 이메일에 악성 파일을 첨부한다. 사용자가 해당 파일을 클릭하면 뱅킹악성코드가 다운로드 된다.

최근 기업들이 이메일 첨부파일을 통한 공격을 차단하고자 실행가능한 확장자를 가진 첨부파일들의 수신을 제한하기 시작했다. 이러한 점을 우회하고자 악성코드들은 최근 업무에 필요한 데이터파일 형식인 doc, xls, pdf로 위장하고 있는 것이다.

또한 2017년도 상반기에 가장 화제가 된 랜섬웨어는 바로 5월에 전 세계적으로 유포된 ‘워너크립터’(WannaCry(워너크라이), Wcrypt 등으로도 불린다)다.

일본에서는 워너크라이 킬스위치가 발견된 후 감소하는 추세를 보였지만, 그 후 6월 후반부터 ‘Eternalblue(이터널블루)’와 ‘DoublePulsar’에 의한 공격 검지가 증가하고 있는 것으로 확인되었다.

이 밖에, 일본 2017년 상반기 특징으로 가짜 사이트에 의한 피싱 공격도 증가한 것으로 확인되었다.

가짜 경고화면을 HTML에서 표시시키는 ‘HTML/FakeAlert’가 올해 3월부터 증가추세에 있으며 일본어 페이지도 확인되고 있다고 밝혔다. [정보출처. 이스트시큐리티]

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★