2016년 초반까지 활발하게 진행되던 온라인뱅킹 사기 도구인 DRIDEX(드라이덱스) 공격이 5월에 감소세를 보였다. 이러한 감소세로 인해 DRIDEX 공격 활동이 마무리되어 가고 있다고 생각했다. 하지만 2016년 5월 25일, 트렌드마이크로는 DRIDEX를 배포하는 스팸메일의 급증을 확인했다.
 
해당 스팸메일은 미국, 브라질, 중국, 독일, 일본 등의 사용자를 주 타깃으로 공격했다. 이번에 확인된 DRIDEX 스팸메일은 현재까지의 공격과 다른 몇 가지 차이점을 보였다. 가짜 ‘인보이스 또는 알림’이라는 일반적인 메일 제목 대신 ‘계정 정보 노출’이라는 문구로 사용자의 두려움을 자극한다.
 
메일 제목에 변화를 주는 것 이외에도 최근 DRIDEX가 사용하는 새로운 공격 수법도 확인되었다. 매크로를 사용하는 것과 더불어 인증서 서비스 관련 커맨드 라인 도구인 Certutil을 활용한다. 마이크로소프트의 공인 도구인 Certutil은 PFX로 위장해 Bae 64 인코딩 데이터를 디코딩할 수 있다. 이처럼 매크로와 Certutil의 두 가지 요소를 결합한 방법으로 DRIDEX를 확산할 경우 탐지가 어렵다.

 
트렌드마이크로는 최근 블로그를 통해 사이버 범죄자들이 이번 스팸메일 공격에 어떤 수법을 사용했는지 상세히 공개했다.
 
스팸메일의 원 제목은 “Account Compromised (계정 정보 노출)”이다. 본문에는 제3자가 로그온을 시도했다는 내용과 함께 IP주소가 적혀있다. 하지만 메일을 잘 읽어보면 중요한 정보가 누락된 것을 알 수 있다. 바로 해킹된 계정이 메일 계정인, 은행 계정인지, 소셜미디어 계정인지, 즉 어떤 유형의 계정 정보가 노출되었는지 안내하지 않는다는 것이다. 일반적인 계정 노출 알림 메일의 경우, 제3자가 로그온을 시도한 계정이 어떤 유형인지 적혀있기 마련이다.
 
사용자들은 불안감에 메일에 첨부된 ZIP파일을 열어보게 된다. 하지만 압축파일을 열어볼 경우 빈 문서가 나타나고, 매크로를 실행할 것을 지시한다. 물론 매크로를 활성화하면 사용자의 컴퓨터에서 DRIDEX가 활동을 시작한다.
 
이 회사의 분석에 따르면 이번 DRIDEX 스팸 공격은 매크로를 이용한다는 점 그리고 동일한 이메일 탬플릿을 이용한다는 점에서 로키 랜섬웨어와 유사성을 확인할 수 있다.
 
스팸메일을 통한 랜섬웨어의 공격이 급증하는 상황에서 DRIDEX 공격이 크게 위협적이지 않다고 생각할 수 있다. 그러나 Certutil 및 전자 인증서의 공개 키와 개인 키를 저장하는 데 사용되는 파일 형식인 Personal Information Exchange(확장자 .PFX)을 이용하는 DRIDEX의 새로운 기법으로 인해 DRIDEX가 온라인뱅킹 위협의 선두자리로 오를 수 있을 것이다.
 
이번 DRIDEX 스팸 활동에는 약간의 변화도 발견할 수 있다. 사용자가 첨부된 ZIP 파일을 열어 Word 파일을 실행하면, 확장자 .PFX 파일이 생성됩니다. 하지만 해당 파일만으로 악성코드가 컴퓨터에서 실행되는 것은 아니다. 이 부분에서 Certutil이 등장한다. Base 64 텍스트 파일을 디코딩하여 .PFX 파일을 .EXE 파일로 변환한다. 이렇게 최종적으로 실행 가능한 .EXE 파일이 생성되면 DRIDEX 활동이 시작된다.
 
아마 사이버 범죄자가 컴퓨터 감염에 이와 같은 추가적인 단계를 만들어 놓았는지 의문을 가질 수도 있다. 처음에 생성되는 파일이 PFX 형식이기 댜문에 DRIDEX가 탐지를 회피할 수 있기 때문이다. PFX 파일과 Certutil을 이용하면 악성 파일을 정규 인증서로 통과시킬 수 있다. 감염된 PC에서 악성 파일을 정규 인증서로 인식하게 되면, 이후에는 같은 인증서 또는 악성 파일도 탐지되거나 차단되지 않는다. 이렇게 DRIDEX를 탐지하고 조치를 취하는 것이 어렵다. 이번에 이러한 새로운 기술이 등장하기 이전에도 가상환경(샌드박스) 기술에 의한 탐지를 피하기 위해 매크로를 사용하기도 했다. 끊임없는 발전을 통해 DRIDEX는 온라인뱅킹 사기 도구의 위협으로 군림하고 있다.
 
트렌드마이크로 측은, DRIDEX의 위협으로부터 안전하기 위한 사용자의 노력이 필요하다고 강조한다. 알 수 없는 출처로부터 도착한 이메일의 첨부파일을 열지 않거나 매크로를 활성화하지 않는다. “계정 정보 노출”과 같은 제목의 메일을 수신한 경우, 먼저 발신자를 확인해야 한다. 또한 첨부파일을 여는 등의 활동을 하기 전에 메일 내용을 잘 확인해야 한다.
 
특히 기업의 경우, 출처가 명확하지 않은 첨부파일이 포함된 이메일을 차단하는 보안 정책을 시행하는 것도 효과적이다. 직원들에게 이번과 같은 위협에 대한 정보를 공유하고, 공격 당했을 때 대처 방안에 대한 보안 교육을 권장한다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com