"MS 보안팀입니다"…누르는 순간 탈탈 털린다 



국내 보안업체 지니언스가 'NarwhalRAT'이라는 신종 악성코드를 발견했으며, 한국 사용자를 대상으로 유포되고 있는 것으로 확인되었습니다.
이번 공격 수법은 북한 연계 해킹조직 APT37과 매우 유사한 것으로 분석되었습니다.
공격은 'MS 계정 팀'을 사칭한 스피어피싱 이메일로 시작되며, OTP 이상 징후를 미끼로 사용했습니다.
발신 도메인은 MS 공식 도메인이 아닌 것으로 확인되었습니다.
첨부 압축파일 안에는 한글 문서로 위장한 악성 .lnk 파일이 있으며, 실행 시 악성코드가 설치됩니다.
'naverwhale' 폴더명에서 착안해 'NarwhalRAT'으로 명명되었으며, 네이버 웨일 브라우저로 위장하려는 의도가 있습니다.
카카오톡 관련 창을 별도로 처리하는 로직 등 한국 환경에 최적화된 코드가 포함되어 있습니다.
키로깅, 화면 캡처, 마이크 녹음, USB 파일 탈취 등 30종 이상의 기능을 수행할 수 있습니다.
수집된 데이터는 임시 저장 후 일괄 전송되어 실시간 탐지를 회피합니다.
지니언스는 행위 기반 탐지 체계 강화를 권고했습니다.