유저들의 감염된 시스템에서 MS 워드와 엑셀파일을 훔쳐내서 그 문서를 파일 호스팅 사이트인 sendspace.com에 업로드시키는 맬웨어가 발견됐다. 샌드스페이스는 파일들을 보내고 받고 공유할 수 있는 파일 호스팅을 제공하는 사이트다.
 
지난해 말 리포트된 내용에 의하면 해커들이 훔친 데이터를 업로드하고 저장하는데 샌드스페이스를 사용하는 것이 드러났다.
 
그러나 최근 밝혀진 내용에 따르면, 맬웨어에 의해 훔친 데이터가 자동으로 업로드되고 저장되고 있다는 것이 밝혀졌다.
 
이 공격을 수행하는 악의적 파일은 ‘Fedex_Invoice.exe’라는 파일로 탐지됐다. 마치 Fedex의 해외 선전용 파일처럼 위장한 악성 파일로 유저들을 속이고 있었다. 이 악성파일은 스팸메일로 전달된 파일중에서서 발견됐다.
 
일단 실행되면 ‘TROJ_DOFOIL.GE’이 다운로드 되고 ‘TSPY_SPCESEND.A.’이 실행된다.
 
‘TSPY_SPCESEND.A.’는 ‘grab and go’ 트로이잔으로 감염된 시스템 내부에 MS워드 파일과 엑셀 파일이 있는지 서치하는 역할을 한다. 파일 수집이 완료되면 유저의 임시폴더에 랜덤으로 생성된 패스워드를 걸어 파일들을 저장해둔다. 그 예가 아래 이미지다.
 
이렇게 폴더에 임시저장이 완료되면 ‘TSPY_SPCESEND.A.’는 그 자료들을 샌드스페이스닷컴으로 전송한다. 이 맬웨어는 트랜드마이크로에 의해 발견됐다.
[데일리시큐=길민권 기자]