다운로드 된 악성 파일, 사용자의 게임 파악 및 상태 로그 수집 목적으로 추정
ESRC “추가적으로 파일 설치한 후, 악성 행위 시도할 가능성 높아 주의 필요”

[보안뉴스 권 준 기자] 최근 접속 시 자동으로 파일이 다운로드 되는 도박사이트가 발견되어 사용자들의 주의가 요구된다. 보안업체 이스트시큐리티 ESRC(시큐리티대응센터)에 따르면 파일이 자동으로 다운로드 되는 홈페이지들은 사행성 도박게임을 할 수 있는 홈페이지로, 다수의 홈페이지에서 동일한 파일이 내려오는 것이 확인됐다.


▲자동으로 파일을 내려주는 도박 페이지[이미지=이스트시큐리티 ESRC]

해당 파일은 iframe으로 페이지 내 삽입되어 있으며, 자동으로 내려온 vcredist_2010.exe 파일을 실행하면 추가로 RuntimeBroker.exe 파일을 C:\Windows\SysWOW64폴더 하위에 저장하고 자동으로 실행하는 것으로 분석됐다.

자동으로 실행된 RuntimeBroker.exe 파일은 컴퓨터명, IP, MAC 주소, 현재 상태 등을 포함해 서버에 주기적으로 전송하며, 추가로 파일 다운로드를 시도하는 것으로 드러났다. 그러나 공격자의 서버 문제로 해당 파일에 대해 확인은 불가능했다면서도 현재 사용자가 진행하는 게임 파악 및 사용자 상태 로그 수집 목적으로 추정된다는 게 ESRC 측의 설명이다.


▲추가로 다운로드 된 파일이미지=이스트시큐리티 ESRC]

ESRC 측은 “공격자가 해당 파일을 이용하여 사용자 PC에 추가적으로 파일을 설치한 후, 향후 악성 행위를 할 가능성이 있어 사용자들의 주의가 필요하다”며, “현재 알약에서는 해당 파일들에 대해 Trojan.Dropper.MSIL, Spyware.Infostealer.RedLine로 탐지 중에 있다”고 밝혔다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>