폼북 멀웨어는 기능 및 공격 원리가 그다지 치명적이지 않지만 비교적 쉬운 사용법과 낮은 가격으로 다양한 사이버 범죄자들이 자주 사용하는 공격수단이 된다. 따라서 2차, 3차 피해가 우려되기에 주의가 필요하다.

미국 및 국내 항공, 국방, 제조 분야를 공격하는 폼북(FormBook) 멀웨어가 발견됐다고 오늘 파이어아이(지사장 전수홍)가 밝혔다. 공격자들은 다운로드 링크가 걸린 PDF 문서, 악성 매크로가 포함된 DOC 및 XLS 파일, 악성 실행 파일을 포함한 압축 파일 등을 통해 폼북 멀웨어를 확산시켰다.

이번에 발견 된 폼북 멀웨어는 다양한 프로세스에 침투되어 키스트로크 로깅을 위해 펑션 후크(function hook)를 설치하고 클립보드 콘텐츠를 탈취하며 HTTP 세션에서 데이터를 추출했다. 또한, 해당 멀웨어는 C2 서버에서 커맨드를 실행할 수 있는데, 커맨드를 통해 파일을 다운로드 및 실행하고, 시스템을 셧다운 하거나 리부트 그리고 패스워드 및 쿠키 정보를 탈취했다.

폼북은 데이터 탈취형 멀웨어지만, 완전한 뱅킹 멀웨어는 아니다. 확장 가능한 프로그램이나 플러그인은 없다. 감염 가능한 부분은 키 로깅, 클립보드 모니터링, HTTP/HTTPS/SPDY/HTTP2 폼과 네트워크 요청 확보, 브라우저와 이메일 클라이언트의 패스워드 확보, 스크린샷 등이다.

또한, 폼북은 C2 서버에서 호스트 시스템상의 봇 업데이트, 파일 다운로드 및 실행, 호스트 시스템에서 봇 제거, ShellExecute 를 통한 커맨드 입력, 브라우저 쿠기 삭제, 시스템 리부트, 시스템 셧다운, 패스워드 수집 및 스크린샷 생성, ZIP 파일 다운로드 및 압축 해제, 리모트 커맨드를 받을 수 있다.

폼북은 PDF, DOC, 다운로드 가능한 링크, 매크로 혹은 실행 가능한 페이로드가 첨부된 압축 파일과 같이 다양한 형태의 파일을 통해 배포됐다. 파이어아이가 탐지한 PDF버전의 새로운 폼북 공격은 FedEx나 DHL의 배송 양식을 띄었으며, 가짜 배달 알림을 사용했다.

DHL 배송 양식을 활용한 폼북 공격
DHL 배송 양식을 활용한 폼북 공격

또 다른 공격 유형인 압축 파일형 폼북 멀웨어는 ZIP, RAR, ACE, and ISO 등을 포함한 다양한 형태의 포맷으로 배포됐다. 가장 많이 사용 된 방식으로, 특히 주문 및 결제 등에서 많이 발견됐다.

또한, 파이어아이는 지난 5주 동안 폼북이 나노코어(NanoCore)와 같은 다른 악성 소프트웨어와 함께 다운로드 된 사실도 발견했다. 폼북 감염으로 얻어진 데이터와 인증서 등은 신분 도난, 피싱, 뱅킹 관련 사기, 인출 같이 추가적인 사이버 범죄로 악용될 수 있다는 점에서 주의가 필요하다.

이향선기자 hslee@nextdaily.co.kr

관련기사

저작권자 © 넥스트데일리 무단전재 및 재배포 금지