금융정보를 탈취하는 악성코드 ‘이모텟’이 지난 몇 달간의 잠적 기간을 끝내고 다시 활동을 재개하는 것이 포착되었다. 2014년 처음 등장한 이모텟은 지난 5월 C2 서버가 중단된 이후 최근 다시 활성화 되면서 국내 웹 사이트가 이모텟 유포지로 악용되고 있어 각별히 주의해야 한다.

특히 피싱 메일의 첨부파일, URL 링크 클릭시 악성코드에 감염될 수 있어 위험한 상황이다.

이모텟 악성코드는 보안전문기업 에프원시큐리티와 위협정보대응 전문서비스를 제공하는 제로서트(ZeroCERT)가 진행하는 국내 사이버위협 공동대응 중에 발견되었다.

이모텟은 청구서 메일 등으로 위장해 첨부된 MS워드(word) 문서나 악성 링크를 클릭하여 워드 문서를 다운받도록 유도한다. 워드문서를 실행하면 악성 매크로가 실행되면서 악성코드를 다운로드 한다. 이모텟은 C2 서버 연결을 통한 봇넷으로 다양한 악성행위가 가능해 더욱 주의해야 한다.

이번에 탐지된 이모텟 유포지는 국내 한 아파트 분양 광고 사이트로, 오픈소스 블로그 저작 관리 시스템인 워드프레스를 사용해 제작된 사이트다. 이모텟 악성 URL중 절반이상이 워드프레스로 제작된 사이트인 것으로 확인되고 있다.

해당 사이트에서 유포한 이모텟은 워드 문서 내 실행되는 매크로파일이 파워쉘 스크립트를 실행시키고, 난독화된 파워쉘 스크립트는 보유한 URL 정보들을 스캐닝해서 악성코드를 다운로드한다.

최종적으로 악성코드가 다운로드 되면 사용자의 웹 브라우저 히스토리 및 쿠키정보를 외부 C2서버로 탈취하는 것으로 추정되고 있다.

이대호 대표는 “최근 재개된 이모텟의 국내 유포나 피해가 확인되지 않은 상황에서 취약한 국내 웹 사이트가 해외 이모텟 공격에 악용되고 있다는 점이 유감스럽다”며 “사이트 제작도구의 보안 패치 등에 주의를 기울여 웹 서비스가 악용되지 않도록 해야 한다”고 강조했다.

에프원시큐리티와 제로서트 측은 “피싱메일을 통해 악용되는 이모텟 악성 URL 약 300여개 이상을 공동 대응하고 있다. 앞으로도 국내 웹사이트에서 악성코드를 유포하지 않도록 24시간 상시 모니터링 체계를 유지하겠다”고 밝혔다.

에프원시큐리티는 보안컨설팅과 악성코드 유포탐지 솔루션을 보유한 보안전문기업이다.

 

[PASCON 2019 개최]
·하반기 최대 정보보안/개인정보보호 컨퍼런스 PASCON 2019
·7시간 보안교육 이수 및 2020년 대비 보안실무 교육
·공공,기업 개인정보보호 및 정보보안 실무자라면 누구나 무료 참석
-무료사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★