정교한 악성 코드 확산 작전
이 작전은 Kaspersky의 Global Research and Analysis Group (GReAT)에 의해 2026년 6월에 발견되었습니다. 이 공격 작전의 피해자는 말레이시아, 브라질, 싱가포르, 대만(중국), 베트남을 포함한 여러 국가 및 지역에서 기록되었으며, 그중 말레이시아가 가장 많은 피해자를 기록했습니다.
여러 언어로 파일 이름을 사용하는 것도 특히 유럽 지역 국가에서 캠페인이 광범위하게 시행되고 있음을 보여줍니다.
연구 결과에 따르면 캠페인의 배후에 있는 사람들은 이전에 침입된 WhatsApp 계정을 이용하여 악성 코드가 포함된 첨부 파일을 배포했습니다.
악당은 이 계정의 기존 연락처 목록에 있는 연락처에서 메시지를 보내 수신자가 쉽게 신뢰하고 파일을 열 수 있도록 했습니다. 악성 코드가 활성화되면 공격자는 합법적인 기술 지원 및 관리 목적으로 설계된 관리 기능을 통해 시스템에 원격으로 액세스할 수 있습니다.
악당은 신뢰감을 주고 피해자를 속이기 위해 결제 영수증, 은행 명세서, 계좌 명세서, 지불 증빙 서류 또는 채무 통지서와 같은 친숙한 업무 문서 형태로 악성 파일을 위장하는 방식으로 소셜 엔지니어링(social engineering)을 이용한 사기 수법을 사용했습니다.
파일 이름은 영어, 포르투갈어, 프랑스어, 독일어 및 말레이어와 같은 여러 언어로 현지화되어 캠페인이 여러 언어 영역에서 시행되고 있음을 보여줍니다. 또한 VBScript 파일 템플릿에는 Microsoft Windows Update의 합법적인 구성 요소를 위조하기 위한 많은 주석과 메타데이터가 포함되어 있습니다.
Kaspersky GReAT의 보안 연구원인 Fareed Radzi는 "이번 캠페인에서 공격자는 악성 코드가 포함된 첨부 파일을 보내기 위해 탈취된 WhatsApp 계정을 사용하여 메시지 플랫폼에서 신뢰 요소를 악용합니다. 이러한 파일은 익숙한 연락처에서 전송되기 때문에 수신자가 열 가능성이 더 높습니다."라고 말했습니다.
파일 이름은 청구서 또는 결제 통지서와 같은 일반적인 작업 문서 형태로 신중하게 위장되었으며, 목표 범위를 확장하기 위해 여러 언어로 현지화되었습니다. 열리면 이러한 파일은 다단계 감염 사슬을 활성화하고, 공격자가 제어하는 인프라에서 더 많은 악성 구성 요소를 은밀히 다운로드하고 실행합니다.
조언
악성 코드에 감염되지 않기 위해 사이버 보안 전문가들은 사용자에게 다음과 같은 권장 사항을 제시했습니다.
- 익숙한 연락처에서 보낸 경우에도 WhatsApp을 통해 이상한 첨부 파일을 받을 때 주의하십시오. 이러한 파일에는 악성 코드가 포함되어 기기에서 실행될 수 있기 때문입니다.
- .vbs, .vbe, .exe, .bat, .cmd, .js 및 .ps1과 같은 명령어 집합 파일 또는 실행 파일 유형을 독립적으로 합법성을 확인하지 않은 경우 열지 마십시오.
- 모든 컴퓨터 및 모바일 장치에서 신뢰할 수 있는 보안 솔루션을 사용하십시오. 이러한 솔루션은 감염 위험이 영향을 미치기 전에 경고하고 예방할 수 있습니다.
