폰트가 없다고? 누르는 순간 멀웨어 다운로드

웹서핑을 하다가 폰트가 없다는 팝업 안내창이 뜬다면 절대 눌러선 안 된다. 특히 구글 크롬과 파이어폭스 브라우저의 사용자라면 더욱 조심해야 한다. 단순하게 보자면 웹폰트가 없으니 설치하라는 내용이지만 실은 악성 자바스크립트 파일을 포함하고 있는 것이기 때문이다. 팝업을 클릭하면 넷 서포트 매니저라는 원격 접근 툴이나 록키 랜섬웨어를 다운로드 받게 된다.

이 공격의 특징은 호플러텍스트(HoeflerText)라는 폰트가 없어 사이트가 제대로 보이지 않을 수 있다는 팝업 메시지로 시작된다. 업데이트 버튼을 누르면 폰트가 설치되고 사이트를 정상적으로 볼 수 있다는 추가 메시지가 뜬다. 하지만 사용자의 PC에는 ‘Win.JSFontlib09.js’라는 파일 또는 ‘Font_Chorme.exe’라는 파일이 설치되고 유저의 PC는 심각한 공격에 무방비로 노출된다.

이 공격을 제일 먼저 발견한 SANS의 보안 전문가인 브랜드 던칸(Brand Duncan)은 랜섬웨어가 RAT파일로 바뀌었다는 것에 주목해야 한다며 최근 유저들을 공격하는 전략이 바뀌고 있다고 보아야 한다고 말했다. 또한 원격툴로 충분히 감시한 뒤 추가 공격을 시도할 수도 있다며 사용자들의 주의를 당부했다.

한편, 이러한 공격이 숨어있는 웹페이지로 사용자들을 우회시키는 데에는 스팸 전략이 활용된 것으로 나타났다. no-reply로 되어 있는 메일 계정에서 잘 모르는 내용으로 이메일을 수신하게 된다면 절대 파일을 내려받거나 링크를 클릭하지 말고 삭제해야 한다. 만약 윈도우 호스트에서 넷서포트 매니저가 발견되었다면, 이미 호플러텍스트 공격에 당한 것으로 간주하고 전문가의 도움을 받길 권장한다.

FONT CLUB 에디터 황남위