½ºÆ¿·¯ ÆäÀÌ·Îµå ½ÇÇà, Å»ÃëÇÑ ¹Î°¨ Á¤º¸¸¦ °ø°ÝÀÚÀÇ ÅÚ·¹±×·¥ ä³Î·Î Àü¼Û
Ãâó°¡ ºÒºÐ¸íÇÑ ÆÄÀÏ ´Ù¿î·Îµå ¹× ½ÇÇà ±ÝÁö, º¸¾È ÇÁ·Î±×·¥°ú OS ¾÷µ¥ÀÌÆ® Çʼö
[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] ÃÖ±Ù ÆäÀ̽ººÏ¿¡¼ °¡Â¥ ±¸ÀÎ ±¤°í¸¦ ÀÌ¿ëÇØ À¯Æ÷µÇ´Â ¡®Ov3r_Stealer¡¯ ¾Ç¼ºÄڵ尡 ¹ß°ßµÆ´Ù. °¡Â¥ ±¤°í¿¡´Â ¾Ç¼ºÄڵ带 ´Ù¿î·ÎµåÇÏ´Â ¸µÅ©°¡ Æ÷ÇԵŠÀÖÀ¸¸ç, ¾÷¹«¿Í °ü·ÃµÈ »ó¼¼ Á¤º¸ÀÇ Á¦°øÀ» ¹Ì³¢·Î ¸µÅ© Á¢¼ÓÀ» À¯µµÇÑ´Ù. ¸µÅ©¿¡¼ ´Ù¿î·ÎµåµÈ ¾Ç¼ºÄڵ尡 ½ÇÇàµÇ¸é °¨¿°µÈ È£½ºÆ®¿¡¼ ÀÚ°ÝÁõ¸í°ú ¾ÏÈ£ÈÆó µîÀÇ ¹Î°¨ÇÔ Á¤º¸¸¦ Å»ÃëÇÑ´Ù.
¡ãOv3r_Stealer ¾Ç¼ºÄÚµåÀÇ ½ÇÇà È帧µµ[ÀÚ·á=À×Ä«ÀÎÅͳÝ]
À×Ä«ÀÎÅÍ³Ý ½ÃÅ¥¸®Æ¼´ëÀÀ¼¾ÅÍ´Â ÃÖ±Ù ¹ß°ßµÈ ¡®Ov3r_Stealer¡¯ ¾Ç¼ºÄڵ忡 ´ëÇØ ºÐ¼®ÇÑ °á°ú¸¦ ¹ßÇ¥ÇÏ¸ç »ç¿ëÀÚµéÀÇ ÁÖÀǸ¦ ´çºÎÇß´Ù. Ov3r_Stealer ¾Ç¼ºÄÚµå´Â ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® À©µµ ¿¡·¯ ¸®Æ÷Æà ¼ºñ½ºÀÎ ¡®WerFaultSecure.exe¡¯¸¦ ½ÇÇàÇÏ°í, DLL »çÀ̵å·Îµù ±â¹ýÀ» ÀÌ¿ëÇØ ¾Ç¼º DLL¸¦ ·ÎµåÇÑ´Ù. ÇØ´ç DLLÀº ¹ÙÀ̳ʸ® ÆÄÀÏ¿¡ ÀúÀåµÈ ½ºÆ¿·¯ ÆäÀ̷ε带 º¹È£È ÈÄ ½ÇÇàÇÑ´Ù.
°¡Â¥ ±¸Àα¤°í¿¡ Æ÷ÇÔµÈ ¸µÅ©¿¡ Á¢¼ÓÇÏ¸é ¾Ç¼º Á¦¾îÆÇ Ç׸ñ ÆÄÀÏ(.cpl)ÀÌ ´Ù¿î·ÎµåµÈ´Ù. ÇØ´ç ÆÄÀÏÀº ÆÄ¿ö½©(PowerShell) ½ºÅ©¸³Æ®¸¦ ÀÌ¿ëÇØ °ø°ÝÀÚÀÇ ±êÇãºê(GitHub) ÀúÀå¼Ò¿¡¼ ZIP ÆÄÀÏÀ» ´Ù¿î·ÎµåÇÑ ÈÄ ¾ÐÃàÀ» ÇØÁ¦ÇÑ´Ù.
´Ù¿î·ÎµåµÈ ZIP ÆÄÀÏÀº ¡®WerFaultSecure.exe¡¯, ¡®wer.dll¡¯, ¡®secure.pdf¡¯ µî 3°³ÀÇ ÆÄÀÏÀ» Æ÷ÇÔÇÏ°í ÀÖ´Ù. ¸ÕÀú, ¡®WerFaultSecure.exe¡¯ ÆÄÀÏÀº À©µµ ¿¡·¯ ¸®Æ÷Æà ¼ºñ½º ÇÁ·Î±×·¥ÀÌ°í, ¡®wer.dll¡¯ ÆÄÀÏÀº WerFaultSecure.exe ½ÇÇà ½Ã »çÀÌµå ·ÎµùµÇ´Â ¾Ç¼º DLL ÆÄÀÏÀÌ´Ù. ¡®secure.pdf¡¯ ÆÄÀÏÀº ¾ÏÈ£ÈµÈ ½ºÆ¿·¯ ÆäÀ̷ε带 Æ÷ÇÔÇÏ´Â ¹ÙÀ̳ʸ® ÆÄÀÏÀÌ´Ù. ÀÌ¾î¼ ÆÄ¿ö½© ½ºÅ©¸³Æ®´Â ¡®WerFaultSecure.exe¡¯¸¦ ½ÇÇàÇÑ´Ù.
¡ãwer.dll »çÀÌµå ·Îµù[ÀÚ·á=À×Ä«ÀÎÅͳÝ]
¡®WerFaultSecure.exe¡¯ÀÌ ½ÇÇàµÇ¸é ÇØ´ç ÆÄÀÏ°ú °°Àº Æú´õ¿¡ À§Ä¡ÇÑ ¡®wer.dll¡¯À» ·ÎµåÇÑ´Ù. ÇÁ·Î¼¼½º¿¡ ·ÎµùµÈ ¡®wer.dll¡¯ ÆÄÀÏÀº ¸ÕÀú ÀÛ¾÷ ½ºÄÉÁÙ·¯¿¡ 90ºÐ¸¶´Ù ¡®WerFaultSecure.exe¡¯¸¦ ½ÇÇàÇÏ´Â »õ·Î¿î ÀÛ¾÷À» µî·ÏÇØ Áö¼Ó¼ºÀ» ȹµæÇÑ´Ù. ±× ÀÌÈÄ, ¡®secure.pdf¡¯¿¡ Æ÷ÇÔµÈ µ¥ÀÌÅ͸¦ º¹È£ÈÇØ .NET Çü½ÄÀÇ ½ºÆ¿·¯ ÆäÀ̷ε带 ȹµæÇÏ°í, CLR(°ø¿ë ¾ð¾î ·±Å¸ÀÓ) ȯ°æÀ» ±¸¼ºÇØ ½ºÆ¿·¯ ÆäÀ̷ε带 ·Îµå ¹× ½ÇÇàÇÑ´Ù.
¡ã½ºÆ¿·¯ ÆäÀÌ·Îµå º¹È£È[ÀÚ·á=À×Ä«ÀÎÅͳÝ]
½ºÆ¿·¯ ÆäÀ̷ε尡 ½ÇÇàµÇ¸é °¨¿°µÊ È£½ºÆ®¿¡¼ ºê¶ó¿ìÀú, ¾ÏÈ£ÈÆó ¹× ÇÁ·Î±×·¥ µî¿¡¼ ¹Î°¨ÇÑ Á¤º¸¸¦ ¼öÁýÇÏ°í, °ø°ÝÀÚÀÇ ÅÚ·¹±×·¥ ä³Î·Î Àü¼ÛÇÑ´Ù. À̶§ ¼öÁýµÇ´Â Á¤º¸´Â Å©°Ô ºê¶ó¿ìÀú, ¾ÏÈ£ÈÆó, ÇÁ·Î±×·¥, ½Ã½ºÅÛ Á¤º¸ µîÀ¸·Î ±¸ºÐÇÒ ¼ö ÀÖ´Ù. ºê¶ó¿ìÀú´Â Chromium ¹× Gecko ±â¹Ý ºê¶ó¿ìÀú°¡ ´ë»óÀ̸ç, ¾ÏÈ£ÈÆó´Â Armory, Atomic, Bytecoin, Coinomi, Jaxx, Electrum, Exodus, Guarda µîÀÇ Á¤º¸¸¦ ¼öÁýÇÏ°Ô µÈ´Ù. ÇÁ·Î±×·¥Àº Discord, FileZilla, Steam, Telegram µîÀÇ ÇÁ·Î±×·¥ Á¤º¸¸¦, ½Ã½ºÅÛ Á¤º¸·Î´Â CPU, GPU, IP, Mac, µð½ºÅ©, ¸Þ¸ð¸®, À©µµ ¹öÀü µîÀ» ¼öÁýÇÏ´Â °ÍÀ¸·Î ÆľǵƴÙ.
À×Ä«ÀÎÅÍ³Ý ½ÃÅ¥¸®Æ¼´ëÀÀ¼¾ÅÍ °ü°èÀÚ´Â ¡°Ov3r_Stealer ¾Ç¼ºÄÚµå´Â DLL »çÀÌµå ·ÎµùÀ» ÀÌ¿ëÇØ Á¤»ó ÇÁ·Î±×·¥¿¡ »ðÀԵŠ½ÇÇàµÇ±â ¶§¹®¿¡ »ç¿ëÀÚ°¡ ¾Ç¼ºÄڵ忡 °¨¿°µÆ´Ù´Â »ç½ÇÀ» ÀÎÁöÇϱ⠾î·Á¿ö ´õ¿í ÁÖÀÇ°¡ ÇÊ¿äÇÏ´Ù¡±¸ç ¡°ÀÌ °°Àº ¾Ç¼ºÄÚµå °¨¿°À» ¿¹¹æÇϱâ À§Çؼ´Â Ãâó°¡ ºÒºÐ¸íÇÑ ÆÄÀÏÀÇ ´Ù¿î·Îµå¿Í ½ÇÇàÀ» Áö¾çÇÏ°í, º¸¾È ÇÁ·Î±×·¥°ú OS¸¦ Ç×»ó ÃֽŠ¹öÀüÀ¸·Î À¯ÁöÇØ¾ß ÇÑ´Ù¡±°í °Á¶Çß´Ù.
[±è¿µ¸í ±âÀÚ(boan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>