‘네머코드’ 확산 주의, 랜섬웨어 포함 악성 패키지 동반
지금까지 네머코드는 대표적인 랜섬웨어 다운로더 중 하나로 알려져 있었으나, 광고를 클릭했을 때 악성코드에 감염되는 광고-클리커 악성코드 ‘코브터(Kovter)’를 다운로드하는 사례가 다수 보고되고 있다.
이러한 현상은 랜섬웨어 감염 등 악성 다운로더를 이용한 공격 형태가 피해자에게 랜섬웨어 뿐 아니라 추가 악성코드를 포함하는 악성코드 패키지로 제공하는 형태로 발전되고 있다는 것을 보여주고 있다. 이 때 추가 악성코드는 랜섬웨어 활동에 대한 주의를 분산시키는 효과도 얻을 수 있다.
피해자는 먼저 실행 가능한 ‘.js’ 파일이 첨부된 이메일을 수신하게 되며, 이를 실행하면 5개의 파일을 한 번에 다운로드하게 된다. 2개는 이셋에 의해 ‘Win32/Kovter’ ‘Win32/Boaxxe’ 로 검출되는 광고-클리커 악성코드다. 3가지 파일들은 컴퓨터 내 중요한 파일들을 찾아 이를 암호화하는 랜섬웨어와 관련이 있다.
랜섬웨어가 실행되면 약 120개 종류의 확장자를 가진 파일들이 암호화되며 ‘.crypted’ 확장자로 변한다. 암호화가 완료되면 네머코드는 몸값 요청 텍스트 파일을 생성하게 된다.
김남욱 이셋코리아 대표는 “출처가 불분명한 이메일이나 웹사이트 접속을 자제하는 등의 기본적인 보안 활동이 필요하다”며 “스크립트가 포함된 이메일 유입을 차단하거나, 스크립트에 의한 추가 파일 다운로드 등의 행위를 차단하는 등의 보다 적극적인 대응과 방어가 필요하다”고 말했다.
<최민지 기자>cmj@ddaily.co.kr
[단독] 유료방송 위기여파 PP로…“콘텐츠 사용료 약 1200억원 감소 전망”
2025-04-03 17:44:35문체부, 글로벌 무대에 'K-안무저작권 안내서' 알린다
2025-04-03 17:15:39[DD퇴근길] 5대 AI에게 물었다…"尹 탄핵심판 결과, 어떨 것 같니?"
2025-04-03 17:13:51응급실 온 전통킥보드 사고 환자, 4명 중 3명은 헬멧 안 썼다
2025-04-03 17:13:33AI 기반 사이버공격 심상치 않네…"보이스피싱 442% 증가"
2025-04-03 16:47:13