보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[긴급] 유튜브 통해 정보 탈취형 악성코드 유포

입력 : 2022-03-05 11:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
발로란트 게임 핵 위장해 동영상 업로드, 악성코드의 다운로드 링크 삽입
감염 PC의 기본정보, 계정정보, 가상화폐 지갑 파일 등 다양한 사용자 정보 탈취
불법 프로그램 다운로드 행위 지양하고, 의심스러운 웹사이트나 P2P 이용 자제


[보안뉴스 권 준 기자] 최근 정보 탈취형 악성코드가 유튜브를 통해 유포 중인 것으로 확인됐다. 공격자는 발로란트 게임 핵을 위장해 동영상을 업로드 했고, 바이러스 백신을 끄고 설치하라는 설명과 함게 악성코드의 다운로드 링크를 삽입한 것으로 드러났다.

▲발로란트 게임 핵을 위장한 유튜브 게시글[자료=안랩 ASEC 분석팀]


안랩 ASEC 분석팀에 따르면 유튜브를 경로로 게임 핵이나 크랙을 위장하여 유포되는 사례는 종종 발견돼 왔는데, 최근 발견된 정보 탈취형 악성코드는 발로란트 게임 핵 동영상으로 위장해 악성코드의 다운로드를 유도하고 있다.

만약 사용자들이 발로란트 게임 핵 프로그램을 다운로드 받기 위해 해당 링크를 클릭할 경우 이래와 같은 다운로드 페이지를 확인할 수 있다. 다운로드된 ‘Pluto Valornt cheat.rar’ 압축 파일에는 ‘Cheat installer.exe’라는 실행 파일이 포함되어 있는데, 이름은 게임 핵을 위장하고 있지만 실제로는 정보 탈취형 악성코드로 분석됐다.

▲악성코드의 다운로드 페이지[자료=안랩 ASEC 분석팀]


해당 악성코드가 실행되면 감염 시스템의 기본 정보들을 포함해 스크린샷, 웹 브라우저 및 VPN 클라이언트 프로그램들에 저장된 사용자 계정 정보, 가상화폐 지갑 파일들, 그리고 디스코드 토큰 및 텔레그램 세션 파일들과 같은 다양한 사용자 정보들을 수집한다.

공격자는 이렇게 탈취한 정보들을 파일 형태로 생성한 후, 압축해 디스코드 WebHooks API를 통해 전달하는 것으로 나타났다. WebHook API를 이용하면 특정한 디스코드 서버에 데이터와 함께 알림을 전달할 수 있다. 즉, 악성코드는 WebHook URL을 통해 탈취한 정보가 포함된 압축 파일을 첨부해 POST를 요청하며, 공격자는 디스코드 서버에서 알림과 함께 탈취한 정보를 전달받을 수 있다.

안랩 ASEC 분석팀 측은 “수많은 사람들이 사용하는 유튜브를 비롯해 다양한 플랫폼을 통해 악성코드가 설치될 수 있기 때문에 불법 프로그램을 다운로드 받는 행위를 지양해야 하는 것은 물론 정품 소프트웨어 사용을 생활화하고 의심스러운 웹사이트나 P2P 이용은 자제해야 한다”며, “또한, V3 등 바이러스 백신을 최신 버전으로 업데이트해 악성코드 감염을 사전에 차단할 수 있도록 신경써야 한다”고 당부했다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
<보안뉴스>의 보안전문 기자들이 선정한 2024년 주요 보안 키워드 가운데 가장 파급력이 클 것으로 보는 이슈는?
점점 더 지능화되는 AI 보안 위협
선거의 해 맞은 핵티비즘 공격
더욱 강력해진 랜섬웨어 생태계
점점 더 다양해지는 신종 피싱 공격
사회기반시설 공격과 OT 보안 위협
더욱 심해지는 보안인력 부족 문제
제로트러스트와 공급망 보안
가속화되는 클라우드로의 전환과 이에 따른 보안위협
모바일 활용한 보인인증 활성화와 인증보안 이슈
AI CCTV의 역할 확대