원격조정·라쿤스틸러 악성코드로 공격해 정보 및 권한 탈취
가짜 분산 서비스 거부 공격(DDos·이하 디도스) 보호 팝업 메시지를 띄어 클릭을 유도해 감염시키는 악성코드가 배포 중인 것으로 확인됐다.
24일 글로벌 정보보안 기업 서큐리는 쉽게 접할 수 있는 디도스 보호 페이지로 위장한 악성코드가 발견됐다며 각별한 주의를 당부했다.
서큐리에 따르면 최근 워드프레스 사이트를 대상으로 디도스 방지 프롬프트가 나타나 피해자가 악성코드를 내려 받도록 유도하고 있다. 프롬프트는 컴퓨터가 사용자의 지시를 받아드릴 준비 완료를 화면에 나타내는 신호를 말한다. 컴퓨터 사용 중에 쉽게 접할 수 있는 팝업 메시지도 프롬프트에 해당한다.
워드프레스는 웹페이지 제작 및 관리를 위한 오픈 소스 시스템이이다. 특히 최근 컴퓨터 코드를 몰라도 프로그램을 개발할 수 있는 노코드(No Code)가 유행처럼 번지면서, 워프프레스 역시 노코드 범주에 포함돼 사용자가 점차 늘고 있다.
이에 보안 전문가들은 워드프레스 사이트를 노린 이번 악성코드 공격에 대한 주의가 필요하다는 지적이다.
이번 악성코드 공격 또한 최근 컴퓨터 사용 트렌드와 무관하지 않다. 최근 사이트에서 방문자가 실제 사람인지 또는 디도스 공격 등을 위한 봇인지 확인하기 위한 페이지를 띄우는 것은 흔한 일이다. 디도스와 같은 해킹 공격을 방어하기 위해 보호 팝업을 띄우는 것도 이와 같은 행위의 연장선에 있다.
서큐리는 이 같은 검사나 동의가 매우 일반적이기 때문에 많은 사용자가 이 프롬프트를 클릭하는 것에 별다른 주의를 기울이지 않을 것이라고 봤다. 공격자 역시 사용자의 이 같은 심리를 노린 것이다.
해당 사이트에 접속할 경우 디도스 가드라는 프로그램으로 위장한 파일에 대한 사용자 동의를 구하도록 돼 있다. 이때 해당 프로그램을 내려 받기 위한 인증 코드 입력을 요구하는 팝업 메시지를 띄운다.
만약 사용자가 인증 코드를 얻기 위해 파일을 실행할 경우 ▲넷서포트 RAT(원격제어 악성코드), ▲라쿤 스틸러(Raccoon Stealer) 악성코드가 설치된다.
넷서포트 RAT 악성코드는 공격자가 원격으로 해당 컴퓨터나 시스템을 조정할 수 있도록 해준다. 이를 통해 감염 컴퓨터를 다른 해킹 공격을 위한 단말로 악용하기도 한다.
라쿤 스틸러 악성코드는 공격자가 감염된 기기의 다양한 정보를 훔치는데 이용되며, 또 다른 랜섬웨어 공격을 시도하기 위한 자격 권한 탈취 등에 이용되기도 한다. 라쿤 스틸러는 지난 2019년 처음 등장해 다양한 방식으로 변형돼 공격을 시도하고 있는 악성코드다.
보안 전문가들은 이같은 악성코드를 예방하기 위해서는 소프트웨어 최신 업데이트 유지 등을 하는 것이 중요하다고 말한다. 서큐리 관계자는 “웹 사이트의 모든 소프트웨어를 최신 상태로 유지하고 강력한 암호를 사용해야 한다”라며 “브라우저에서 스크립트 차단을 설정하는 것도 예방법”이라고 말했다.