게임핵 내려 받았는데... XM리그 코인 마이너 악성코드 설치됐다

게임핵을 통해 코인 마이너 및 악성코드 유포
다운로드·백신 차단 방법 명시...악성코드 설치와 실행 유도
공식 홈페이지에서 내려받고, 출처가 불분명한 실행파일은 각별히 주의

[보안뉴스 박은주 기자] 게임핵을 통한 XM리그(XMRig) 코인 마이너(채굴기)가 유포되고 있어 사용자들의 주의가 요구된다. 특히 게임핵을 실행하기 위해서는 loader.exe와 같은 다운로더를 주기적으로 실행시켜야 하는데, 이때 코인마이너 외에도 악성코드에 의한 피해가 발생할 수 있다.

▲게임핵 배포 페이지 메인[이미지=ASEC]

안랩 시큐리티 인텔리전스 센터(ASEC)의 분석결과 XM리그 코인 마이너는 웹하드를 통해 유포되는 것으로 드러났다. 과거 한글 워드 프로세서 크랙으로 위장한 ‘Orcus RAT’이나 ‘모네로 코인 마이너’를 유포한 방식과 유사했다.

▲게임핵 다운로드를 안내하며 다운로드 차단 및 백신 종료 방법을 명시하고 있다[이미지=ASEC]

해당 사이트는 유명 게임의 게임핵을 배포하는 사이트로, 다수의 유명 게임핵을 위장한 압축파일이 업로드돼 있다. 사이트에는 브라우저와 백신에 의해 다운로드가 차단되는 것을 방지하기 위해 다운로드 차단 및 백신 종료 방법을 명시하고 있다. 게임핵 다운로드를 빌미로 악성코드 설치와 실행을 유도하는 것이다. 게임 커뮤니티에서는 해당 프로그램에 악성코드가 포함돼 있다는 사실을 인지한 사용자들의 의견이 다수 발견됐다.

▲(왼쪽부터)게임핵 사용설명서, dControl.exe 실행 화면[이미지=ASEC]

업로드된 압축 파일에는 코인마이너를 설치하는 다운로더, 백신을 종료하는 목적의 악성코드가 압축되어 있다. 공격자는 사용 설명서를 통해 사용자가 직접 백신을 종료하게 만들어 피해를 인지하기 어렵게 한다. 사용된 백신 종료 프로그램은 Windows Defender 관리 프로그램인 dControl.exe이며, 이를 통해 Windows Defender 비활성화를 유도했다.

코인마이너를 실행하기 위한 준비 과정이 완료되면, loader.exe를 통해 코인마이너를 내려받는다. 초기 다운로더는 오토핫키로 제작된 프로그램으로 ‘%temp%’ 폴더 경로에 코인마이너를 설치 및 실행한다.

실행된 코인마이너는 파워쉘을 통해 ‘ProgramData’ 경로에 .exe 확장자를 Windows Defender가 스캔하지 못하도록 한다. Windows MSRT(악성 소프트웨어 제거 도구)의 업데이트를 비롯해 Windows 업데이트와 관련된 서비스 등을 제거한다. 또한, hosts 파일을 수정하여 탐지를 우회하기 위한 시도를 수행한다.

이와 동시에 %ProgramData%\Google\Chrome 경로에 updater.exe 파일명으로 자가 복제하고 GoogleUpdateFile의 서비스명으로 등록해 지속성을 유지하고 있다.

이처럼 게임핵을 통한 XM리그(XMRig)와 각종 악성코드가 유포되고 있다. 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 내려받아야 하며, 출처가 불분명한 자료 공유 사이트에서 내려받은 실행 파일은 각별한 주의가 필요하다.
[박은주 기자(boan5@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)