Home > 전체기사

윈도 불법 사용자 노린 원격제어 및 채굴 악성코드 유포 주의보

  |  입력 : 2022-08-18 09:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
파일공유 사이트 등에서 ‘불법 설치 윈도 정품 인증 크랙 툴’로 위장
압축파일 속 악성 실행파일 열면 설치, V3 설치 환경은 코인 채굴 악성코드 설치 시도


[보안뉴스 김영명 기자] 최근 불법으로 설치한 윈도의 정품인증을 위한 ‘불법 인증 툴’로 위장한 파일이 파일공유 사이트 등에 올라와 이를 통해 악성코드를 유포하는 사례가 발견돼 사용자들의 주의가 요구된다.

▲다양한 파일공유 사이트에 업로드 된 불법 인증 툴 위장 악성파일[이미지=안랩]


먼저 공격자는 국내 다수의 파일공유 사이트에 ‘KMS Tools’, ‘KMS Tools Portable’ 등의 제목으로 불법 윈도 정품인증 툴(이하 불법인증툴)을 위장한 압축파일(.7z)을 업로드했다.

사용자가 내려받은 파일의 압축을 해제하고 ‘KMS Tools Unpack.exe’라는 이름의 내부 실행파일을 실행할 경우 BitRAT이라는 원격제어 악성코드가 외부 다운로드 방식으로 추가 설치된다.

▲압축파일 내부에 존재하는 악성 실행파일[이미지=안랩]


안랩 분석팀에 따르면 BitRAT 악성코드는 설치 이후 감염 PC를 원격제어할 수 있을 뿐만 아니라 개인정보 탈취, 암호화폐 채굴 등 다양한 악성행위를 수행할 수 있다.

만약 해당 PC에 V3가 설치된 환경이라면 이 같은 악성코드를 사전에 감지해 원격제어 악성코드가 아닌 ‘XMRig’라는 암호화폐 채굴 악성코드만 설치한다. 이는 V3가 설치된 환경에서 원격제어 악성코드의 악성행위가 명확하게 진단될 수 있기 때문으로 추정된다.

악성코드 설치 전 실행파일 실행 시점 악성파일 진단 가능
현재 V3는 원격제어 및 채굴 악성코드가 설치되기 전인 악성 실행파일(KMS Tools Unpack.exe) 실행시점에서 해당 악성파일을 진단한다.

▲파일공유 사이트에 업로드 된 불법 인증 툴 위장 악성파일[이미지=안랩]


이재진 안랩 분석팀 주임연구원은 “파일공유 사이트 등에서 제품을 불법으로 내려받는 사용자를 노린 공격은 지속해서 발생하고 있다”며 “공격자는 앞으로 파일의 이름을 바꿔 다양한 파일공유 사이트에서 유사한 공격을 이어갈 것으로 예상되기 때문에 사용자는 반드시 공식 경로로 콘텐츠를 이용해야 한다”고 말했다.
[김영명 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)