[아이티데일리] 무료 온라인 문서 변환 사이트로 위장해 민감 정보를 훔치고 악성코드를 배포한 사이버공격 사례가 미국에서 포착됐다.

28일 업계에 따르면 미국 연방수사국(FBI) 덴버(Denver) 지부는 최근 공식 홈페이지를 통해 무료 온라인 문서 변환기를 사칭한 공격 사례 신고가 급증하고 있다고 발표했다.

이용자들은 마이크로소프트(MS) 오피스 워드(.doc) 파일을 PDF 파일로 바꾸는 등 확장자 변경 작업을 위해 무료 온라인 문서 변환기를 사용한다. 온라인상에는 이러한 파일 변환 작업을 지원하는 사이트들이 여럿 존재하며 이들은 대개 무료로 서비스를 제공한다.

FBI에 따르면 사이버 범죄자들은 무료 문서 변환기, 파일 병합 도구를 제공하는 웹사이트를 만들어 정보를 탈취했다. 해당 사이트들은 정상 작동하는 듯 보이지만 변환 이후 생성된 파일 몇몇에 감염된 기기에 원격 접근할 수 있는 멀웨어(Malware)를 몰래 심어뒀다.

범죄자들은 이뿐 아니라 업로드된 문서를 통해 △이름, 생년월일, 휴대전화번호 등 개인정보 △이메일 주소, 비밀번호 등 크리덴셜(Credential) △암호화폐 정보를 훔칠 수도 있었다.

실제로 무료 문서 변환기로 위장한 악성 사이트가 몇 곳 발견됐다. 보안 외신 블리핑컴퓨터(Bleeping Computer)에 따르면 docuflex.com, pdfixers.com 등 사이트는 악성코드가 담긴 윈도우 실행 파일을 배포했다. 해당 사이트들은 현재 이용이 불가한 상태다.

pdfixer.com의 경우, PDF 파일을 업로드하면 오피스 워드 문서(.docx)로 변환해 압축 파일(.zip)로 제공했다. 그런데 일정 조건을 충족하는 사용자에게는 워드 문서가 아니라 자바스크립트가 담긴 압축 파일을 건넸다.

해당 자바스크립트에는 ‘구트로더(GootLoader)’가 담겨 있었다. 구트로더는 트로이 목마, 인포스틸러, 등으로 연계할 수 있는 멀웨어 로더다. 공격자들은 구트로더로 추가 페이로드를 만들고 이를 통해 네트워크에 침투해 다른 컴퓨터로 수평 이동하며 공격을 지속할 수 있다.

FBI 측은 “안티바이러스를 최신 버전으로 유지하며 내려받은 파일을 열기 전 검사해 컴퓨터가 악성코드에 감염되지 않도록 주의해야 한다. 만약 피해가 발생했을 시 신고 후 자산을 보호하는 조치를 신속히 취할 것을 권고한다”고 당부했다.