GitLab의위협행위자계정(출처: 블리핑컴퓨터) 

2024년 4월 악성코드 유형별 비율 

2024년 4월 악성코드 공격 동향 

2024년 4월(1일~30일까지 집계) 한 달 동안 국내외에서 수집된 악성코드 현황을 분석및 조사한 결과 유형별로 분류했을 때 트로이목마(Trojan)가 43%로 가장 높은 비중을차지했고, 웜 바이러스(Worm)가 11%, 바이러스(Virus)가 10%의 비율을 보였다. 

지난 4월에 등장한 악성코드 중에서 특이한 점으로는 금융기간을 표적으로 하는‘JsOutProx’ 악성코드가 발견된 것이다. 

또한 피싱 이메일을 이용해 유포되는 ‘Latrodectus’와 ‘SSLoad’ 악성코드가 유포됐다.

이 외에도 국내 안드로이드 사용자를 공격하는 ‘SoumniBot’ 악성코드와 새로운 이름으로 등장한 ‘HelloGookie’ 랜섬웨어가 발견됐다. 

SSLoad 악성코드 화면 (출처 : 해커뉴스) 

금융기관을 표적으로 삼는 JsOutProx

4월 초에는 금융 기관을 표적으로 삼는 ‘JsOutProx’ 악성코드의 새로운 버전이발견됐다. 이 악성코드는 RAT(Remote Administration Tool, 원격관리도구) 유형이다. 공격자가 합법적인 기관을 사칭하는 이메일을 통해 사용자에게 가짜결제알림을 보낸다고 전했다. 

사용자가 이메일의 첨부 파일을 실행하면 깃랩 저장소에서 JsOutProx 페이로드가 다운로드된다. 그 이후 공격자는 사용자의 민감 데이터에 접근하고 추가 페이로드를 내려받는 등의 공격을 수행한다. 

분석가들은 해당 캠페인의 정교함과 지리적 위치 등을 기반으로 중국 또는 중국관련 공격자가 배후에 있을 것으로 추정했다. 

안드로이드 사용자를 대상으로 공격하는 ‘SoumniBot’ 

4월 중순에는 안드로이드 사용자를 대상으로 공격하는 ‘SoumniBot’ 트로이목마가 발견됐다. 해당 악성코드가 정부기관과 온라인증권 거래소에서 사용하는 디지털 서명 인증서를 탈취한다고 전했다. 이를 악용하면 공격자는 사용자의 온라인 뱅킹 서비스에 로그인하거나 거래 내역을 확인할 수 있다고 덧붙였다. SoumniBot 악성코드는 연락처 추가와 삭제, 안드로이드 디버그 모드 활성화 등의 기능이 있으며, 기기에서 애플리케이션을 숨겨 제거하기 어렵게 만든다. 

피싱 이메일을 이용해 ‘SSLoad’ 악성코드를 유포 

피싱 이메일을 이용해 ‘SSLoad’ 악성코드를 유포하는 캠페인이 4월 말에 발견됐다. SSLoad 악성코드는 여러 개의 페이로드를 설치해 탐지를 회피한 것으로 알려졌다. 또한 감염된 시스템에서 민감 정보를 수집해 공격자에게 전송하도록 설계됐다고 전해졌다. 이에 대해 캠페인 시작이 피싱 메일 속의 악성 링크라고 언급하면서 출처가 불분명한 이메일에 주의할 것을 권장했다. 

결론

4월 악성코드의 행위는 이메일을 시작으로 하여 피싱, 첨부파일 클릭 유도 등 사회공학적인 기법이 많이 들어간다. 그 이후악성코드가 다운로드가 되어 실행하게 되면 피해자에게 연결하여 개인정보 유출 등이 시작되므로 반드시 주의해야 할 것이다. 그러므로 출처가 불분명한 이메일을 받아볼 시 주의하면서 읽어야 하는 습관을 들여야 할 것이다. 

피싱 이메일 피해 예방 방법

 • 출처 불분명한 이메일, 문자메시지,블로그 등에 포함된 URL에접근하지않는다.

 •개인 정보(로그인), 금융 정보(보안카드)에 대한 입력이 필요할 때는 주소창에 자물쇠 그림을 확인 한다.

 •보안강화, 업데이트 명목으로 개인 정보/금융정보를 요구하는 경우절대 입력하지 않는다.

 •가급적 메일에 포함된 링크를클릭하지않고,검색을 통해새창에서 사이트를연다.