[아이티데일리] 이셋코리아(대표 김남욱)는 랜섬웨어 및 각종 광고-클리커 감염의 시작이 되는 ‘네머코드(Nemucod)’ 다운로더가 다시 확산되고 있어 주의를 요한다고 23일 밝혔다.

네머코드는 대표적인 랜섬웨어 다운로더 중 하나로 알려져 있으나, 최근에는 광고-클리커 악성코드인 ‘Kovter’를 다운로드하는 사례가 다수 보고되고 있다. 이러한 현상은 랜섬웨어 감염 등 악성 다운로더를 이용한 공격 형태가 피해자에게 랜섬웨어 뿐만 아니라 광고-클리커 등 추가 악성코드를 포함하는 패키지로 제공하는 형태로 발전되고 있음을 보여주고 있으며, 추가 악성코드는 랜섬웨어 활동에 대한 주의를 분산시키는 효과도 있다고 회사 측은 설명했다.

이전의 랜섬웨어 감염 벡터와 동일하게 피해자는 먼저 실행 가능한 .js 파일 형태의 다운로더가 첨부된 이메일을 수신하게 되며, 이를 실행하면 다섯 개의 파일을 한 번에 다운로드 한다. 이 중 처음 두 개는 광고-클리커로 이셋에 의해 검출되지만, 나머지 세 파일들은 컴퓨터 내 중요한 파일들을 찾아 암호화하는 랜섬웨어와 관련이 있다.

네머코드는 우선 랜섬웨어 실행에 필요한 PHP 인터프리터와 추가 PHP 라이브러리를 다운로드해 설치한 후, 최종적으로 랜섬웨어 자체를 다운로드한 후 파일을 암호화하는 악성 행위를 시작한다. 랜섬웨어가 실행되면 MS 오피스 파일, 이미지, 동영상, 사운드 파일 등을 포함, 약 120여 종류의 확장자를 가진 파일들을 암호화 한 후 ‘.crypted’ 확장자를 부여한다. 암호화가 완료되면 네머코드는 몸값 요청 텍스트 파일을 생성하며, 최종적으로 PHP 인터프리터의 라이브러리 및 랜섬웨어는 파일 시스템에서 삭제된다.

이셋코리아 김남욱 대표는 “이러한 다운로더가 시스템에 직접적으로 피해를 주지는 않지만, 제2, 제3 의 추가 악성코드를 다운로드 할 수 있기 때문에 그 피해를 예측하기가 어렵다. 지금까지는 주로 랜섬웨어 다운로드에 많이 이용됐지만, 이번에 발견된 광고-클리커 및 스파이웨어 이외에도 다양한 악성코드 감염의 통로로 사용될 수 있다는 점을 기억해야 한다”며, “스크립트 수준의 악성코드는 그 자체만으로는 악성 여부를 판단하는 기준이 모호하기 때문에 기존의 악성코드 차단 방법만으로는 완벽하게 유입을 차단하기 어렵다. 따라서 스크립트가 포함된 이메일의 유입을 차단하거나, 스크립트에 의한 추가 파일 다운로드 등의 행위를 차단하는 등의 보다 적극적인 대응과 방어가 필요하다”고 강조했다.