패치되지 않은 마이크로소프트 워드 취약점, Dridex 뱅킹 악성코드 배포에 악용돼

패치되지 않은 마이크로소프트 워드 취약점, Dridex 뱅킹 악성코드 배포에 악용돼

Unpatched Microsoft Word Flaw is Being Used to Spread Dridex Banking Trojan

얼마 전, 모든 버전의 윈도우와 마이크로소프트 오피스 버전에 존재하는 MS Word 제로데이 취약점이 발견되었습니다. 

(▶ 취약점 내용 자세히보기)

그리고 최근, Dridex 악성코드 운영자들이 Dridex 뱅킹 트로이목마를 유포시키는데 이 취약점을 악용하기 시작한 것으로 확인되었습니다. 

Dridex는 현재 인터넷에 존재하는 가장 위험한 뱅킹 트로이목마 중 하나로, PC에 침투해 피해자의 트래픽을 모니터링하고 온라인 뱅킹 크리덴셜 및 재무 관련 데이터를 훔치는 등의 전형적인 행동을 하는 악성코드입니다.

Dridex는 보통 스팸 메시지나 이메일을 통해 배포되어 왔습니다. 하지만, 최근 Dridex 운영자들이 패치되지 않은 제로데이 결점을 악용하는 정황이 처음 발견되었습니다.

최신 Dridex 스팸 캠페인은 이 제로데이를 악용한 워드 문서를 주로 호주에 있는 은행 및 여러 조직의 수 백만명에게 보내고 있는 것으로 확인되었습니다.

이 캠페인에 사용된 이메일은 마이크로소프트 워드 RTF 문서를 첨부했습니다. 메시지는 “[기기]@[수신인의도메인]”으로부터 오며, [device]는 “copier”, "documents", "noreply", "no-reply", 또는 "scanner"로 대체될 수 있습니다. “모든 메일의 제목은 “Scan Data”라고 되어있으며, "Scan_123456.doc" 또는 "Scan_123456.pdf" 파일이 첨부 되어있습니다. “123456”은 랜덤한 숫자로 바뀝니다. 스푸핑한 이메일 도메인과 디지털화된 버전의 문서들을 사용해 공격을 설득력있게 만듭니다.

해커는 MS가 개발한 대부분의 익스플로잇 완화 기능을 우회할 수 있으며, 다른 워드의 익스플로잇들과는 다르게 사용자들이 매크로 기능을 활성화 할 필요가 없기 때문에 이 제로데이 취약점은 매우 심각하다고 볼 수 있습니다.

게다가, Dridex 뱅킹 트로이목마의 위험성을 감안할 때, 마이크로소프트가 패치를 공개하기 전까지는 이미 알고있는 발신자라 할지라도 첨부된 워드 파일을 오픈하지 말 것을 강력히 권고합니다.

마이크로소프트는 이 원격 코드 취약점을 지난 1월부터 인지하고 있었으며, 금일 정기 패치 화요일 업데이트를 통해 이 취약점에 대한 패치를 발표할 예정입니다. 

마이크로소프트 오피스에서 “제한된 보기”를 활성화해 공격 예방 가능합니다. 오피스의 제한된 보기를 통해 악성 문서를 볼 경우 공격이 작동하지 않기 때문에, 이 기능을 사용하도록 설정해두는 것이 좋습니다.

출처:

http://thehackernews.com/2017/04/microsoft-word-dridex-trojan.html

https://www.proofpoint.com/us/threat-insight/post/dridex-campaigns-millions-recipients-unpatched-microsoft-zero-day