보안업체 프루트포인트(Proofpoint) 연구진에 따르면 새로운 해커 집단이 지난 10월부터 1,000개가 넘는 조직의 컴퓨터 시스템에 침투해 스크린샷을 찍는 방식으로 민감 정보를 빼내려 시도했다고 경고했다. 트로이 목마 악성프로그램이 자동으로 스크린샷을 찍는 공격 수법이다.
연구진에 따르면 이 공격 수법에 사용된 도구는 2019년부터 발견된 다른 공격 캠페인과 비슷하다. 금전적 동기 외에도 스파이 활동이 주요 목적 중 하나인 것으로 추정된다. 공격받은 곳은 주로 독일과 미국 기업이다.
‘스크린타임’ 공격 캠페인이 작동하는 방식
프루트포인트 연구진은 이 공격 캠페인의 이름을 ‘스크린타임’이라고 지었다.
연구진은 “스크린샤터(screenshotter)라는 악성 프로그램의 목표는 스크린샷을 찍어 해커 본부에 보내는 것이다”라며 “근무 시간에 전송받은 스크린샷을 확인하고 마음에 들지 않으면 계속 스크린샷을 찍도록 페이로드를 계속 배치한다”라고 설명했다.
이 공격은 피싱 이메일로 시작한다. “비즈니스 프레젠테이션을 검토해주세요” 같은 낚시성 제목이 흔하다. 악성 매크로나 자바스크립트 코드가 담긴 퍼블리셔(.pub) 파일을 다운받도록 하는 게 목적이다.
사용자가 만약 이런 파일을 실행하면 와사비시드(WasabiSeed)라는 맬웨어 프로그램(MSI 설치 파일)이 실행되며, 윈도우 자동 실행 바로가기를 통해 시스템에 달라 붙는다. 와사비시드는 VBS로 작성된 간단한 스크립트로 각종 페이로드를 실행한다. 이런 페이로드 중 하나가 스크린샤터 도구다.
이 외에도 스틸러 로더(Stealer Loader)라는 스크립트가 실행되는데, 이 스크립트는 DLL 파일을 다운받아 컴퓨터 메모리에 로딩한다. 이 DLL 파일은 데이터 탈취용 맬웨어로 암호화폐 지갑이나 브라우저 비밀번호 같은 데이터를 훔칠 수 있다.
이러한 해킹 페이로드를 전달하려면 여러 해커가 동시에 작업해야 한다. 그래서 해커의 주요 활동 시간은 한국 시각 기준 오전 9시에서 10시 사이다(UTC +2:00, 3:00).
연구진은 이 공격 수법이 특정한 종류의 데이터가 아닌 사용자의 스크린샷을 겨냥하므로 매우 위험하다고 전했다. dl-ciokorea@foundryco.com
