매크로 막히자 새로운 방법들 모색하는 해커들…원노트가 최근에는 표적이 돼
요약 : IT 외신인 블리핑컴퓨터에 의하면 큐봇(QBot)이라는 멀웨어를 유포하려는 새로운 캠페인이 적발됐다고 한다. MS의 서비스 중 하나인 원노트를 악용하는 전략이 채용되고 있기 때문에 이 캠페인에는 칵노트(QakNote)라는 이름이 붙었다. 원노트 첨부파일 형태의 악성 파일이 새롭게 발견된 건 지난 달의 일이고, 최근 2주 동안 이러한 움직임이 급증한 것으로 분석됐다. 큐봇은 칵봇(QakBot)이라는 이름으로도 불리는 뱅킹 멀웨어다.
![[보안뉴스 / 2.8.] MS 오피스의 매크로 대신 원노트 노리기 시작한 공격자들](http://www.boannews.com/media/upFiles2/2023/02/232586675_2333.jpg)
[이미지 = utoimage]
배경 : MS는 2022년 7월부터 자사 오피스 제품들에서 매크로가 자동으로 활성화되지 않도록 정책을 변경시켰다. 디폴트 상태의 MS 제품들은 이제 매크로를 자동으로 실행하지 않는다. 이 때문에 사이버 공격자들은 매크로 대신 사용할 만한 전략을 여러 가지로 실험하는 중이다.
말말말 : “원노트 파일에는 .one이라는 확장자가 붙습니다. 하지만 .one 파일을 첨부하여 메일을 주고 받는 사례는 많지 않습니다. 때문에 당분간 .one 첨부파일을 차단하도록 이메일 설정을 바꾸는 편이 안전할 것입니다.” -소포스(Sophos)-
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>