[뉴스웍스=문병도 기자] 이스트시큐리티는 마스크 관련 정보 문서로 위장한 악성 문서가 유포되고 있다며 주의를 당부했다.

새롭게 발견된 악성 문서는 'guidance'라는 파일명을 사용하고 있다.

이 악성 문서를 열어보면 최초에는 문서 내용이 제대로 보이지 않으며, 문서 내용 확인을 위해 상단에 나타난 '콘텐츠 사용' 버튼을 클릭하도록 유도한다.

'콘텐츠 사용' 버튼을 클릭할 경우 최근 이슈가 되고 코로나19 바이러스 관련 마스크 소개 내용을 담은 문서를 보여주며 악성코드 감염 의심을 회피한다.

실제로는 공격자가 미리 설정해둔 악성 매크로 코드가 동작하며 사용자 몰래 자동으로 추가 파일을 실행한다.

이후 공격자의 명령제어(이하 C2)서버에서 추가로 악성 파일을 다운로드해 사용자 정보를 탈취하는 기능을 가진 최종 악성코드를 설치한다.

악성코드가 설치될 경우 공격자가 지정한 FTP로 감염된 PC의 시스템 정보와 실행 중인 응용프로그램, 관련 작업, 프로세스 목록 정보가 업로드되며, C2 서버를 통한 추가 공격 명령도 수행할 수 있게 된다.

현재 알약에서는 새롭게 발견된 악성코드를 탐지명 'Trojan.Downloader.DOC.Gen', 'Trojan.Agent.245248K', 'Trojan.Agent.9216K'로 탐지 차단하고 있다.