개인정보 동의서인 줄 알았던 바로가기 파일의 정체는?
Contents
개인정보 동의서인 줄 알았던 바로가기 파일의 정체는?
최근 ‘개인정보 수집이용 동의서’를 사칭한 악성 파일이 유포된 정황이 확인됐다. 공격자는 업무 문서로 착각하기 쉬운 파일명을 사용해 사용자의 실행을 유도한다. 해당 파일은 실제 문서가 아닌 바로가기 파일로, 실행 시 내부에 숨겨진 명령을 통해 PC 정보를 수집하고 추가 악성 행위로 이어질 수 있다.
이번 글에서는 해당 악성 LNK 파일의 동작 방식과 안전하게 대응하는 방법을 살펴보자.
이번 사례에서 LNK 파일 내부에는 난독화된 파워셸(PowerShell) 스크립트가 포함돼 있다. 사용자가 파일을 실행하면 해당 스크립트가 동작하고, 외부에 있는 추가 악성 파워셸 스크립트를 불러와 파일리스(Fileless) 방식으로 실행한다. 파일리스 방식은 악성 파일을 PC에 직접 저장하지 않고 메모리에서 실행하는 방식으로, 사용자가 감염 사실을 알아차리기 어렵게 만든다.
[그림 1] LNK 파일 내에 존재하는 파워셸 스크립트
추가 스크립트 생성과 지속성 확보
공격자가 외부 스크립트 내용을 여러 차례 변형한 정황도 확인됐다. 현재까지 확인된 6종의 코드는 서로 상이하지만, 난독화된 파워셸을 복호화한 뒤 실행하는 방식은 동일하다.
악성 LNK 파일이 실행되면 사용자 PC의 특정 경로에 추가 파워셸 스크립트가 생성된다. 이 중 하나는 외부 페이로드를 내려받는 …
최근 ‘개인정보 수집이용 동의서’를 사칭한 악성 파일이 유포된 정황이 확인됐다. 공격자는 업무 문서로 착각하기 쉬운 파일명을 사용해 사용자의 실행을 유도한다. 해당 파일은 실제 문서가 아닌 바로가기 파일로, 실행 시 내부에 숨겨진 명령을 통해 PC 정보를 수집하고 추가 악성 행위로 이어질 수 있다.
이번 글에서는 해당 악성 LNK 파일의 동작 방식과 안전하게 대응하는 방법을 살펴보자.
이번 사례에서 LNK 파일 내부에는 난독화된 파워셸(PowerShell) 스크립트가 포함돼 있다. 사용자가 파일을 실행하면 해당 스크립트가 동작하고, 외부에 있는 추가 악성 파워셸 스크립트를 불러와 파일리스(Fileless) 방식으로 실행한다. 파일리스 방식은 악성 파일을 PC에 직접 저장하지 않고 메모리에서 실행하는 방식으로, 사용자가 감염 사실을 알아차리기 어렵게 만든다.
[그림 1] LNK 파일 내에 존재하는 파워셸 스크립트
추가 스크립트 생성과 지속성 확보
공격자가 외부 스크립트 내용을 여러 차례 변형한 정황도 확인됐다. 현재까지 확인된 6종의 코드는 서로 상이하지만, 난독화된 파워셸을 복호화한 뒤 실행하는 방식은 동일하다.
악성 LNK 파일이 실행되면 사용자 PC의 특정 경로에 추가 파워셸 스크립트가 생성된다. 이 중 하나는 외부 페이로드를 내려받는 …