[아이티데일리] 미국 및 국내 항공, 국방, 제조 분야를 노린 ‘폼북(FormBook)’ 멀웨어가 발견돼 주의가 요구된다.

16일 파이어아이(한국지사장 전수홍)는 다운로드 링크가 걸린 PDF 문서, 악성 매크로가 포함된 DOC 및 XLS 파일, 악성 실행 파일을 포함한 압축 파일 등을 통해 ‘폼북’ 멀웨어가 확산되고 있다며 이같이 밝혔다.

이번에 발견된 ‘폼북’ 멀웨어는 다양한 프로세스에 침투돼 키스트로크 로깅을 위해 펑션 후크(function hook)를 설치하고 클립보드 콘텐츠를 탈취하며 HTTP 세션에서 데이터를 추출한다. 또한, C2 서버에서 커맨드를 실행해 파일을 다운로드 및 실행하고, 시스템을 셧다운 하거나 리부트 그리고 패스워드 및 쿠키 정보를 탈취한다.

파이어아이 측 설명에 따르면, ‘폼북’은 PDF, DOC, 다운로드 가능한 링크, 매크로 혹은 실행 가능한 페이로드가 첨부된 압축 파일과 같이 다양한 형태의 파일을 통해 배포되고 있다. 파이어아이가 탐지한 PDF버전의 새로운 ‘폼북’ 공격은 페덱스(FedEx)나 DHL의 배송 양식으로 가짜 배달 알림을 사용했다.

또 다른 공격 유형인 압축 파일형 ‘폼북’ 멀웨어는 ZIP, RAR, ACE, ISO 등을 포함한 다양한 형태의 포맷으로 배포됐다. 가장 많이 사용된 방식으로, 주문 및 결제 등에서 많이 발견됐다.

파이어아이는 지난 5주 동안 ‘폼북’이 ‘나노코어(NanoCore)’와 같은 다른 악성 소프트웨어와 함께 다운로드 된 사실도 발견했다. 또한, ‘폼북’ 감염으로 얻어진 데이터와 인증서 등은 신분 도난, 피싱, 뱅킹관련 사기, 인출 같이 추가적인 사이버 범죄로 악용될 수 있다는 점에서 주의가 필요하다고 강조했다.

전수홍 파이어아이코리아 지사장은 “폼북의 기능 및 공격 원리는 그다지 특별하지 않다”며, “하지만 비교적 쉬운 사용법과 낮은 가격으로 다양한 사이버 범죄자들에게 매력적인 공격 수단이 되고 있다”고 말했다.