Home > 전체기사

특정 도박 사이트에 접속하면 악성 파일이 자동 다운로드 된다

  |  입력 : 2021-11-07 23:35
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
다운로드 된 악성 파일, 사용자의 게임 파악 및 상태 로그 수집 목적으로 추정
ESRC “추가적으로 파일 설치한 후, 악성 행위 시도할 가능성 높아 주의 필요”


[보안뉴스 권 준 기자] 최근 접속 시 자동으로 파일이 다운로드 되는 도박사이트가 발견되어 사용자들의 주의가 요구된다. 보안업체 이스트시큐리티 ESRC(시큐리티대응센터)에 따르면 파일이 자동으로 다운로드 되는 홈페이지들은 사행성 도박게임을 할 수 있는 홈페이지로, 다수의 홈페이지에서 동일한 파일이 내려오는 것이 확인됐다.

▲자동으로 파일을 내려주는 도박 페이지[이미지=이스트시큐리티 ESRC]


해당 파일은 iframe으로 페이지 내 삽입되어 있으며, 자동으로 내려온 vcredist_2010.exe 파일을 실행하면 추가로 RuntimeBroker.exe 파일을 C:\Windows\SysWOW64폴더 하위에 저장하고 자동으로 실행하는 것으로 분석됐다.

자동으로 실행된 RuntimeBroker.exe 파일은 컴퓨터명, IP, MAC 주소, 현재 상태 등을 포함해 서버에 주기적으로 전송하며, 추가로 파일 다운로드를 시도하는 것으로 드러났다. 그러나 공격자의 서버 문제로 해당 파일에 대해 확인은 불가능했다면서도 현재 사용자가 진행하는 게임 파악 및 사용자 상태 로그 수집 목적으로 추정된다는 게 ESRC 측의 설명이다.

▲추가로 다운로드 된 파일이미지=이스트시큐리티 ESRC]


ESRC 측은 “공격자가 해당 파일을 이용하여 사용자 PC에 추가적으로 파일을 설치한 후, 향후 악성 행위를 할 가능성이 있어 사용자들의 주의가 필요하다”며, “현재 알약에서는 해당 파일들에 대해 Trojan.Dropper.MSIL, Spyware.Infostealer.RedLine로 탐지 중에 있다”고 밝혔다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)