HP의 사이버 보안 전문가들은 "범죄자들이 시스템을 감염시킨 다음 위험한 RAT(원격 액세스 트로이 목마)를 배포하는 방법으로 사용하는 새로운 자바스크립트 멀웨어를 발견했다"면서 "이 악성 코드 이름을 'RAT디스펜서(Dispenser)'로 지정했다"고 말했다.
HP 팀은 'RAT디스펜서(Dispenser)'의 현재 탐지율이 11%에 불과하다고 경고했다. 또 이 새로운 멀웨어의 약 155개 샘플을 3가지 다른 버전에 걸쳐 발견했다고 말했다.
해당 악성코드는 악성 첨부 파일이 포함된 이메일 메시지 형태로 최소 3개월 동안 배포돼 있다가,사용자가 파일을 열려고 할 때 JavaScript 코드를 실행한다. 이때 고전적인 이중 확장자 트릭( filename.txt.js )을 남용하여 텍스트 파일로 가장하기 때문에 조심해야 한다.
RATDispenser 멀웨어는 자체적으로 디코딩하고 자체 포함된 VBScript 파일을 실행한 다음 감염된 장치에 상용 원격 액세스 트로이 목마를 설치한다. 이 VBScript 파일은 멀웨어 페이로드를 다운로드하고 성공하면 이후에 자체 삭제된다.
HP Wolf Security의 멀웨어 분석가인 Patrick Schläpfer는 이에 대해 "RATDispenser는 다른 위협을 설치하는 데 사용되는 멀웨어 유형인 드롭퍼다"라면서 "드롭퍼는 최종 페이로드를 본체에 포함하고 명령 및 제어 서버와 통신하지 않기 때문에 로더(다운로더라고도 함)와 다르다"고 설명했다.
이어 "흥미롭게도 분석된 샘플의 94%에서 RAT디스펜서가 주로 드롭퍼로 사용되고 있었으며 이는 악성 프로그램이 악성 페이로드를 전달하기 위해 네트워크를 통해 통신하지 않는다는 것을 의미한다"고 보충설명했다. 또한 "자바스크립트 악성코드와 관련된 대부분의 공격과 마찬가지로 RATDispenser는 손상된 장치를 제어하는 2차 악성코드를 실행하기 전에 시스템에서 초기 기반을 확보하는 데 사용된다"고 말했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
