매크로 막히자 새로운 방법들 모색하는 해커들…원노트가 최근에는 표적이 돼
요약 : IT 외신인 블리핑컴퓨터에 의하면 큐봇(QBot)이라는 멀웨어를 유포하려는 새로운 캠페인이 적발됐다고 한다. MS의 서비스 중 하나인 원노트를 악용하는 전략이 채용되고 있기 때문에 이 캠페인에는 칵노트(QakNote)라는 이름이 붙었다. 원노트 첨부파일 형태의 악성 파일이 새롭게 발견된 건 지난 달의 일이고, 최근 2주 동안 이러한 움직임이 급증한 것으로 분석됐다. 큐봇은 칵봇(QakBot)이라는 이름으로도 불리는 뱅킹 멀웨어다.
![[보안뉴스 / 2.8.] MS 오피스의 매크로 대신 원노트 노리기 시작한 공격자들](http://www.boannews.com/media/upFiles2/2023/02/232586675_2333.jpg)
[이미지 = utoimage]
배경 : MS는 2022년 7월부터 자사 오피스 제품들에서 매크로가 자동으로 활성화되지 않도록 정책을 변경시켰다. 디폴트 상태의 MS 제품들은 이제 매크로를 자동으로 실행하지 않는다. 이 때문에 사이버 공격자들은 매크로 대신 사용할 만한 전략을 여러 가지로 실험하는 중이다.
말말말 : “원노트 파일에는 .one이라는 확장자가 붙습니다. 하지만 .one 파일을 첨부하여 메일을 주고 받는 사례는 많지 않습니다. 때문에 당분간 .one 첨부파일을 차단하도록 이메일 설정을 바꾸는 편이 안전할 것입니다.” -소포스(Sophos)-
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 3.27.] 아시아 최대 규모 통합보안 전시회 SECON & eGISEC 2023, 3월 29~31일 개최](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/03/주석-2023-03-28-171550-500x383.png)
![[보안뉴스 / 3.27.] 폰투온에서 이틀 연속 뚫린 테슬라 모델 3, 연구자들은 35만 달러 상금 획득](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/03/주석-2023-03-28-161942-500x383.png)
![[보안뉴스 / 3.27.] 새로 나타난 다크파워 랜섬웨어, 한 달 만에 10개 조직 침해](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/03/주석-2023-03-28-161658-500x383.png)
![[보안뉴스 / 2.8.] MS 오피스의 매크로 대신 원노트 노리기 시작한 공격자들](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
