랜섬웨어 'FT코드', 자격 증명 탈취 기능 추가

1117.1 버전에서 발견

(지디넷코리아=김윤희 기자)랜섬웨어 'FT코드'가 최근 자격 증명 탈취 기능이 추가된 버전으로 유포되고 있다는 분석이 나왔다.

보안 기업 지스케일러는 지난 16일 자사 블로그에 FT코드 신규 버전을 연구한 내용을 게재했다.

FT코드는 마이크로소프트(MS)가 개발한 스크립트 언어 파워쉘 기반의 랜섬웨어로, 지난 2013년 영국 보안 기업 소포스가 처음 발견했다. 초기 발견 당시에는 러시아어 사용자를 주 표적으로 삼았으나, 차후 타 언어 사용자로 표적을 확대해갔다. 지난해 10월에는 이태리어 사용자를 대상으로 한 공격 사례가 발견되기도 했다.

지스케일러는 FT코드의 1117.1 버전을 확인했다. 회사에 따르면 FT코드는 악성 매크로가 포함된 문서 파일을 이용해왔으나, 최근에는 비주얼베이직스크립트 링크 클릭을 유도해 파워쉘 스크립트를 실행하는 방식을 차용하고 있다. 사용자가 스크립트를 실행하면 이미지를 내려받은 것처럼 위장하고 랜섬웨어를 내려받게 된다.

FT코드 랜섬노트(출처=지스케일러)

해당 버전에는 MS 아웃룩, 모질라 선더버드 등 이메일 플랫폼과 인터넷 익스플로러, 크롬, 파이어폭스 등 웹 브라우저에 저장된 자격 증명을 훔치는 스크립트가 새로 추가돼 있었다.

지스케일러는 FT코드가 파워쉘로 작성됐기 때문에 기존 맬웨어보다 기능을 쉽게 추가 또는 제거할 수 있는 장점이 있다고 설명했다.

김윤희 기자(kyh@zdnet.co.kr)