본문 바로가기

Security_News/국내보안소식

정보탈취 멀웨어 ‘폼북(FormBook)’ 확산

728x90

개요

보안업체 Arbor Networks, FireEye, ISC SANS의 보고에 따르면 지난 몇 달간 미국, 한국 등 다양한 국가에서 항공우주산업, 방위산업, 제조업을 겨냥한 다량의 폼북 멀웨어가 발견되었다고 밝힘


주요내용

 

해당 멀웨어는 주로 악성 매크로가 포함된 PDF, DOC/XLS 파일이나 실행 가능한 페이로드가 포함된 압축파일(ZIP, RAR, ACE, ISOs)과 같은 다양한 형태의 

이메일 첨부파일로 확산됨

 <그림1. ‘폼북(FormBook)’ 온라인 광고 소개 글 (1)>
‘폼북(FormBook)’ 온라인 광고 소개 글 (1)
출처: FireEye(10.05)

<그림2. ‘폼북(FormBook)’ 온라인 광고 소개 글 (2)>
‘폼북(FormBook)’ 온라인 광고 소개 글 (2)
출처: FireEye(10.05)


정보탈취 멀웨어 폼북의 기능 및 특이사항

- 폼북은 아래와 같은 기능 존재

 1. 키로깅, 클립보드 모니터링

 2. HTTP, HTTPS, SPDY, HTTP2 폼 그래빙(Form Grabbing)

 3. 실행 파일 다운로드

 4. 스크린샷 생성

 5. 브라우저 쿠키 삭제

 6. 시스템 재시작, 종료 등


- 폼북 온라인 광고에 소개된 FTP 클라이언트에서 패스워드를 추출할 수 있다는 내용과 달리, Arbor와 FireEye에서는 이러한 행위를 발견할 수 없다고 밝힘

- 일주일에 $29, 한 달에 $59로 폼북을 빌릴 수 있음

 

 

시사점

 

저렴한 가격과 쉬운 사용법으로 사이버 공격 수단으로 사용될 가능성이 있으므로 출처가 불분명한 URL이나 파일은 클릭하지 않는 등 이용자들의 각별한 주의가 요구됨

폼북은 정교하지 않고 탐지가 가능한 멀웨어로 항상 안티바이러스 소프트웨어를 실행하고 업데이트함으로써 예방 가능함

 




[출처]

1. FireEye, “Significant FormBook Distribution Campaigns Impacting the U.S. and South Korea”, 2017.10.5.

2. ThreatPost, “FormBook Malware Targets US Defense Contractors, Aerospace and Manufacturing Sectors”, 2017.10.9.

3. Bleeping Computer, “FormBook Infostealer Sold on Hacking Forums Is Becoming Quite a Threat”, 2017.10.5

728x90