‘도하 엑스포 VIP 초대장’ 사칭 문서파일 유포··· 안랩 “실행했다간 해킹”

이종현 2022.06.21 10:51:28

[디지털데일리 이종현기자] 문서파일을 열기만 해도 악성코드에 감염되는 취약점을 이용한 공격이 발견됐다. 2023 도하 엑스포 VIP 초대장을 사칭한 문서파일로, 별도의 문서 내 매크로 실행 등 작업을 하지 않더라도 위협에 노출되는 것이 특징이다.

21일 안랩은 2023 도하 엑스포 VIP 초대장을 위장한 문서파일로 유포되는 악성코드를 발견했다고 밝혔다.

공격자는 먼저 ‘VIP Invitation to Doha Expo 2023(2023 도하 엑스포 VIP 초대)’라는 제목의 워드 문서 파일(.docx)을 메일 등으로 유포했다.

사용자가 해당 문서를 실행하면 ‘2023 도하 엑스포’의 VIP 초대장으로 보이는 본문이 열린다. 동시에 사용자 몰래 특정 인터넷주소(URL)에 자동으로 접속해 악성코드를 다운로드 및 설치한다. 감염 이후 공격자는 PC내 정보 탈취, 추가 악성행위를 위한 권한 획득 등 다양한 악성행위를 시도할 수 있게 된다.

사용자 입장에서는 문서파일을 실행했을 뿐임에도 악성코드에 노출된다. 최근 확인된 마이크로소프트(MS) 오피스의 보안 취약점을 악용했기에 가능한 일이다. 현재 해당 취약점은 보안패치가 제공되고 있다.

안랩은 V3를 비롯해 차세대 엔드포인트 위협 탐지 및 대응 솔루션 ‘안랩 EDR’, APT 공격 대응 솔루션 ‘안랩 MDS’의 파일 및 행위 기반 진단 기능 등으로 해당 악성코드를 차단하고 있다.

피해 예방을 위해 사용자는 ▲오피스 소프트웨어(SW), 운영체제(OS) 및 인터넷 브라우저(엣지, 크롬, 파이어폭스 등) 프로그램 최신 보안패치 적용 ▲출처가 불분명한 파일 다운로드/실행 금지 ▲백신 최신버전 유지 및 실시간 감시 기능 실행 등 보안수칙을 준수해야 한다.

안랩 박종윤 분석팀 선임연구원은 “대형 이벤트를 사칭한 컨텐츠로 사용자의 관심을 끌어 악성코드를 유포하는 방식은 꾸준히 발견되고 있다”며 “사용자는 출처를 알 수 없는 메일 속 첨부파일은 실행하지 말고, SW나 OS 사용시 주기적으로 보안패치 및 업데이트를 적용해야 한다”고 말했다.