코로나19로 어려움을 겪고 있는 소상공인을 대상으로 악성 한글 문서를 유포하는 정황이 포착됐다. 각별한 주의가 필요하다.

안랩 ASEC 분석팀에 따르면, 공격자는 한글 문서에 악성 PostScript를 삽입하거나 악성 OLE 개체를 삽입했으며, ‘코로나바이러스감염증-19 피해 소상공인 경영안정자금 공고.hwp’라는 파일명을 통해 악성 문서를 유포하고 있는 것으로 확인됐다고 밝혔다.

이외에도 △2020년 중소벤처기업부 소관 소상공인 정책자금 융자계획 변경 공고.hwp △발주서(산단)_컴퓨터 2대.hwp △최근거래내역.hwp 등의 제목으로 악성파일이 유포되고 있어 각별히 주의해야 한다.

“코로나바이러스감염증-19 피해 소상공인 경영안정자금 공고.hwp” 파일의 경우 중소벤처기업부 공식 사이트에서 동일한 파일명의 한글 문서 파일을 확인할 수 있어 현혹되기 쉽다.

공격자는 해당 한글 문서 파일과 같이 정상 문서에 악성 포스트스크립트 및 OLE 개체를 삽입해 소상공인 대상으로 악성 문서를 유포한 것이다.

해당 한글 문서 열람 시 기존에 알려진 방식대로 포스트스크립트 문법을 사용해 악성 DLL 파일을 다운로드 하거나, 악성 OLE 개체(스크립트)를 통해 악성 DLL을 드롭 및 실행한다.

최종적으로 포스트스크립트에 의해 다운로드된 DLL과 OLE 개체를 통해 드롭된 DLL은 모두 WMIC 명령을 통해 ftp 서버로부터 추가 페이로드를 실행하는 행위를 수행한다.

안랩 ASEC 분석팀은 “코로나 19로 힘들어 하는 소상공인들을 위한 3차 재난지원금이 논의되고 있는 가운데, 이를 악용한 악성 한글문서 유포 정황이 확인된 만큼, 사용자는 메일 첨부파일 열람 시 출처가 불분명할 경우 첨부파일 실행을 하지 않아야 한다”고 강조했다.

★정보보안 대표 미디어 데일리시큐!★