PDF 위장 악성코드 주의보: AsyncRAT 공격과 예방 방법

최근 PDF 파일로 위장한 악성코드를 이용한 피싱 공격이 급증하고 있어 사용자들의 각별한 주의가 요구됩니다. 특히, 가상 하드 디스크 링크를 통해 악성코드를 배포하는 방식은 기존의 보안 방식을 우회하며 더욱 교묘하게 사용자를 속이고 있습니다. 이 글에서는 해당 공격의 특징과 예방 방법에 대해 자세히 알아보겠습니다.

가상 하드 디스크를 이용한 악성코드 유포

이번 피싱 캠페인의 핵심은 일반적인 PDF 파일 첨부가 아닌, IPFS(InterPlanetary File System)에 호스팅된 파일 링크를 이메일에 포함시킨다는 점입니다. IPFS는 탈중앙화된 스토리지 네트워크로, 사이버 범죄자들이 악성코드 배포에 점점 더 많이 활용하고 있습니다. 링크를 클릭하면 가상 하드 디스크(VHD) 파일이 다운로드되는데, 이를 실행하면 로컬 디스크로 마운트되어 일부 Windows 보안 기능을 우회하게 됩니다.

PDF로 위장한 WSF 파일의 위험성

가상 하드 디스크 내부에는 PDF 문서로 위장한 WSF(Windows Script File) 파일이 존재합니다. 사용자가 이 파일을 실행하면 Windows는 파일 내의 코드를 실행하게 되고, 이는 곧 컴퓨터가 원격 사용자에 의해 악용될 수 있는 위험에 노출됨을 의미합니다. 특히, 이번 공격에는 원격 액세스 트로이 목마인 AsyncRAT이 사용되어 공격자가 피해자의 컴퓨터를 원격으로 제어할 수 있게 됩니다.

AsyncRAT (원격 액세스 트로이 목마) 공격의 심각성

AsyncRAT은 감염된 컴퓨터에 대한 광범위한 액세스 권한을 공격자에게 제공하는 악성 프로그램입니다. 이를 통해 공격자는 파일을 훔치거나, 키 입력을 기록하고, 웹캠을 활성화하거나, 추가 악성코드를 설치하는 등 다양한 악의적인 행위를 수행할 수 있습니다. 기업 환경에서는 AsyncRAT에 감염된 컴퓨터가 네트워크 전체를 위험에 빠뜨릴 수 있으므로, 초기 감염을 막는 것이 매우 중요합니다.

Dead#Vax 악성코드 캠페인과 보안 전문가의 경고

이번 악성코드 캠페인은 Dead#Vax라는 이름으로 알려져 있으며, Securonix에 의해 처음 발견되었습니다. MalwareBytes Labs는 블로그 게시물을 통해 Windows에서 파일 확장명을 항상 표시하도록 설정할 것을 권고했습니다. 이를 통해 사용자는 PDF 아이콘으로 위장한 WSF 파일을 쉽게 식별하고 실행을 방지할 수 있습니다.

피싱 공격 예방을 위한 실질적인 방법

피싱 공격을 예방하기 위해서는 다음과 같은 방법들을 실천하는 것이 중요합니다.

• 출처가 불분명한 이메일 링크 클릭 금지: 의심스러운 이메일은 열어보지 않고 삭제하는 것이 좋습니다.
• 파일 확장명 표시 설정: Windows 설정에서 파일 확장명을 항상 표시하도록 설정하여 WSF 파일과 같은 악성 파일을 식별합니다.
• 백신 프로그램 최신 업데이트 유지: 백신 프로그램을 최신 버전으로 유지하고, 실시간 감시 기능을 활성화합니다.
• 정기적인 보안 교육 실시: 직원들을 대상으로 피싱 공격의 위험성과 예방 방법에 대한 교육을 정기적으로 실시합니다.
• 다단계 인증 설정: 중요한 계정에 다단계 인증을 설정하여 계정 탈취 시에도 추가적인 보안 장치를 마련합니다.

맺음말

최근 PDF 파일로 위장한 악성코드 공격은 사용자들의 각별한 주의를 요구합니다. 특히 가상 하드 디스크를 이용한 방식은 기존의 보안 체계를 우회하는 더욱 교묘한 수법입니다. 위에 제시된 예방 수칙들을 숙지하고 실천하여 소중한 정보와 시스템을 안전하게 보호하시기 바랍니다. 지속적인 보안 업데이트와 교육만이 사이버 위협으로부터 자신을 지키는 가장 효과적인 방법입니다.