피싱 메일을 통해 유포되는 SVG(Scalable Vector Graphics) 포맷 악성코드 주의

ASEC(AhnLab SEcurity intelligence Center)은 최근 SVG(Scalable Vector Graphics) 포맷의 악성코드가 다수 유포 중인 정황을 확인하였다. SVG 파일이란, 확장 가능한 벡터 그래픽을 나타내는 XML 기반의 파일 형식이다. 주로 아이콘, 차트, 그래프 등에 사용되며 코드 내 CSS 및 JS 를 사용 가능한 특징이 있다. 공격자는 이러한 특징을 이용하여 다양한 유형의 SVG 악성코드를 유포하고 있다.

SVG 악성코드는 피싱 메일 내 첨부 파일로 유포되고 있으며, 메일 본문에는 해당 파일을 실행하는 방법을 포함하고 있다. 일반적인 방법으로 SVG 파일을 실행할 경우, 웹 브라우저를 통해 파일이 오픈된다.

 

[그림 1] 피싱 이메일

 

최근 유포되고 있는 SVG 악성코드는 크게 두 가지 유형으로 나눌 수 있다. 먼저 첫번째 유형은 다운로더 유형으로 PDF 파일 다운로드를 유도하고 있으며, 두번째 유형은 피싱 유형으로 엑셀 문서를 확인하기 위해서 사용자의 계정 정보 입력을 유도하고 있다. 유포 중인 SVG 파일의 실행 화면은 아래와 같다.

 

[그림 2] SVG 악성코드 유형

 

내부 코드를 살펴보면, 다운로더 유형은 이미지 컨텐츠 요소에 하이퍼링크가 설정되있는 것을 확인할 수 있으며 해당 주소로부터 추가 악성코드가 다운로드되는 방식이다. 공격자는 하이퍼링크 주소로 대부분 Dropbox, Bitbucket 등의 정상적인 파일 호스팅 서비스를 이용하고 있다. 다운로드되는 파일은 패스워드가 설정된 압축 파일로, 패스워드는 SVG 실행 시 본문에서 확인할 수 있다. 압축 파일 내부에는 정보 유출 및 백도어 기능을 가진 AsyncRat 악성코드가 포함되어 있다.

 

[그림 3] 다운로더 유형

 

피싱 유형의 경우 이미지 컨텐츠 요소 사이에 난독화된 JS 코드가 함께 존재하는 것을 확인할 수 있으며, 입력된 계정 정보를 Base64 인코딩 후 공격자 서버로 전송하는 기능을 수행한다. 

이와 같이, SVG 악성코드는 악성 기능을 수행하는 코드가 이미지 컨텐츠 요소 사이에 숨겨져 있어 일반적인 사용자가 악성 파일임을 인지하기 어려울 수 있다.

 

[그림 4] 피싱 유형

 

최근 다양한 포맷을 이용하여 악성코드가 제작되고 있으며, SVG 포맷의 악성코드 유포가 증가하고 있다. 사용자는 출처가 불분명한 메일에 첨부된 파일을 열람하는 행위를 자제해야하며, 특히 SVG 포맷의 파일이 첨부되어 있을 경우 각별한 주의가 필요하다.

MD5

1cb57bf424b43b0fa31578e943abc294

62fe867077a03214208fa5c9f9f1c743

c3bd20a26cad5cd8d5ff8174f70966f0

d3acfbea0cfc732e819301c490b3bb89