[디지털데일리 최민지기자] 카스퍼스키랩은 메신저 텔레그램 PC버전의 취약점을 악용한 신종 악성코드 공격을 발견했다고 14일 밝혔다.
이 취약점은 지난해 3월 이후 모네로(Monero), 제트캐시(Zcash) 등 가상화폐 채굴 작업에 활용됐다. 이 악성코드는 PC에 따라 백도어 역할을 하거나 채굴 소프트웨어 설치 도구 역할을 한 것이다.
텔레그램 제로데이 취약점은 RLO(Right-to-Left Override) 유니코드 기법을 사용하는 것으로 알려졌다. 이 기법은 아랍어나 히브리어 등 오른쪽에서 왼쪽 방향으로 쓰는 언어를 코딩하는 데 주로 사용되지만, 악성코드 개발자들도 사용자들을 속이기 위해 악성파일을 이미지 파일 등 정상파일인 것처럼 위장하는 데 이 기법을 사용한다.
공격자가 문자의 순서를 반대로 뒤집는 유니코드 문자를 파일 이름에 숨겨놓기 때문에 파일 이름이 자체적으로 변경된다. 이에 사용자는 숨겨진 악성코드를 다운로드하게 되며 컴퓨터에 설치된다.
이 취약점을 통해 채굴 악성코드가 설치되는데, 피해자 PC를 활용해 사이버 범죄자들은 모네로, 제트캐시, 팬텀코인(Fantomcoin) 등 가상화폐를 채굴해 사용자에게 피해를 입힌다.
또한, 취약점을 통해 피해자 PC에 침입한 후 텔레그램 애플리케이션 프로그래밍 인터페이스(API)를 명령제어(C&C) 프로토콜로 사용하는 백도어가 설치된다. 이를 통해 해커는 피해자 컴퓨터에 대한 원격접근 권한을 확보한다.
설치 완료 후 이 백도어는 은밀히 작동하기 때문에 공격자가 네트워크에 탐지되지 않은 상태로 스파이웨어 설치 등 다양한 명령을 실행할 수 있다.
카스퍼스키랩 조사에 따르면 이 악성코드의 배후에는 러시아 지역의 사이버 범죄자가 관련된 것으로 추정된다.
이창훈 카스퍼스키랩코리아 지사장은 “카스퍼스키랩에서는 일반적인 악성코드와 스파이웨어 외에도 작년부터 공격 트랜드인 채굴 소프트웨어를 설치하는 제로데이 익스플로잇 공격 시나리오를 몇 가지 밝혀냈다”며 “이번 제로데이 취약점을 악용하는 다른 방법도 있을 것으로 추측된다”고 말했다.