피싱 메일 통해 유포 중인 SVG 악성코드 주의
안랩이 SVG(Scalable Vector Graphics) 포맷의 악성코드가 다수 유포 중인 정황을 확인했다. SVG 파일은 XML 기반 확장 가능한 벡터 그래픽 파일로, 주로 아이콘이나 차트, 그래프 등을 표현하는 데 사용된다. 이 파일은 CSS 및 JavaScript(JS) 코드를 포함할 수 있는데, 공격자는 이러한 특징을 이용하여 다양한 유형의 SVG 악성코드를 유포하고 있다. 최근에 확인된 사례에서는 SVG 파일이 피싱 메일을 통해 유포되고 있는 것으로 나타났다. 해당 사례를 자세히 살펴보자.
SVG 악성코드는 피싱 메일에 포함된 첨부 파일의 형태로 유포되고 있으며, 메일 본문에는 해당 파일을 실행하는 방법이 명시되어 있다. 일반적인 방법으로 SVG 파일을 실행하면 웹 브라우저를 통해 파일이 열린다.
[그림 1] 피싱 이메일
최근 유포되고 있는 SVG 악성코드는 크게 2가지 유형으로 구분할 수 있다.
먼저, 첫번째 유형은 다운로더(DownLoader) 형태로, PDF 파일 다운로드를 유도한다. 두번째 유형은 피싱으로, 엑셀 문서 확인을 명목으로 사용자의 계정 정보 입력을 유도하고 있다. 유포 중인 SVG 파일의 실행 화면은 [그림 2]와 같다.
[그림 2] SVG 악성코드 유형
내부 코드를 살펴보면, 다운로더 악성코드는 이미지 콘텐츠 요소에 하이퍼링크가 설정되어 있는 것을 확인할 수 있는데, 해당 링크로 접속하면 추가 악성코드가 다운로드된다. 공격자는 하이퍼링크 주소로 대부분 드롭박스(Dropbox), 비트버킷(Bitbucket)과 같은 정상적인 파일 호스팅 서비스를 이용하고 있다. 다운로드되는 파일은 패스워드가 설정된 압축 파일로, 패스워드는 SVG 실행 시 본문에서 확인할 수 있다. 압축 파일 내부에는 정보 유출 및 백도어 기능을 가진 에이싱크랫(AsyncRat) 악성코드가 포함되어 있다.
[그림 3] 다운로더 유형
피싱 유형의 경우 이미지 콘텐츠 요소 사이에 난독화된 JS 코드가 함께 존재하는 것을 확인할 수 있으며, 입력된 계정 정보를 베이스64(Base64) 인코딩 후 공격자 서버로 전송하는 기능을 수행한다.
이와 같이, SVG 악성코드는 악성 기능을 수행하는 코드가 이미지 콘텐츠 요소 사이에 숨겨져 있어 일반적인 사용자가 악성 파일임을 인지하기 어려울 수 있다.
[그림 4] 피싱 유형
최근 다양한 포맷을 이용하여 악성코드가 제작되고 있으며, SVG 포맷의 악성코드 유포가 증가하고 있다. 사용자는 출처가 불분명한 메일에 첨부된 파일을 열람하는 행위를 지양해야 하며, 특히 SVG 포맷의 파일이 첨부되어 있을 경우 각별히 주의해야 한다.
출처 : AhnLab
