‘원 배틀 애프터 어나더’로 위장한 파일, 다운로드 즉시 에이전트 테슬라 감염
파워쉘·CMD·작업 스케줄러 등 윈도우 기본 도구 악용해 탐지 회피
유명 영화 이용한 악성코드 유포 잇따라...보안 전문가 “불법 다운로드 경계해야”

[보안뉴스 여이레 기자] 내년 오스카상 유력 후보인 레오나르도 디카프리오 주연 ‘원 배틀 애프터 어나더’를 토렌트로 다운받았다가 트로이 목마에 감염되는 사례가 발생하고 있다.


▲영화 ‘원 배틀 애프터 어나더’의 한장면 [자료: 연합뉴스]

10일(현지시간) 사이버 보안 기업 비트디펜더에 따르면, 다운로드할 수 있는 영화 파일로 위장해 원격 엑세스 트로이 목마(RAT) ‘에이전트 테슬라’를 유포하는 공격이 벌어지고 있다.

감염은 사용자가 위장 토렌트를 다운로드하면서 시작된다. 아카이브엔 ‘CD.lnk’라는 이름의 영화 실행 파일로 보이는 바로가기 파일이 있고, 사용자가 이를 클릭하면 숨겨진 명령 시퀀스가 작동한다. 이 과정에서 ‘Part2.subtitles.srt’라는 자막 파일 내부에 숨겨진 악성 스크립트가 활성화된다.

이후 공격 체인은 CMD, 파워쉘, 작업 스케줄러 등 윈도우 기본 도구들을 호출한다. 각 도구는 암호화된 데이터의 다음 레이어를 압축 해제하고 실행한다. 최종적으로 메모리에서 에이전트 테슬라 트로이목마를 재구성해 구동시킨다.

에이전트 테슬라가 설치되면 범죄자들은 컴퓨터에 원격으로 접속해 금융 데이터와 개인정보를 탈취할 수 있다. 비트디펜더는 이 공격의 궁극적 목표가 피해자 PC를 소위 ‘좀비 에이전트’로 만드는 데 있다고 보고 있다. 이렇게 감염된 기기는 향후 다른 캠페인이나 추가 악성코드 배포에 악용될 수 있다. 또 감염된 기기를 다른 시스템 공격을 위한 발판으로 삼거나 더 큰 봇넷 네트워크의 일부로 활용할 수도 있다.

비트디펜더 관계자는 “토렌트를 모니터링한 결과 수천명의 시더(seeder)와 리처(leecher)가 존재하는 것으로 나타나 이미 많은 사용자가 가짜 토렌트 설치 파일을 다운로드한 것으로 보인다”며 “페이로드 실행이 전적으로 메모리 내에서 이뤄지기 때문에 디스크에 남는 흔적이 줄어들어 일부 보안 제품의 탐지를 어렵게 만든다”고 경고했다.

토렌트와 가짜 멀티미디어 파일을 이용한 악성코드 유포는 오래된 수법이지만, 최근 공격 빈도가 눈에 띄게 증가했다.

올해 또 다른 대표적 사례로는 영화 ‘미션 임파서블: 파이널 레코닝’의 복제본을 이용해 ‘루마 스틸러’(Lumma Stealer) 정보 탈취 악성코드를 유포한 사례가 있다. 루마 스틸러는 계정 탈취와 사기에 악용될 수 있는 비밀번호, 브라우저 쿠키, 가상화폐 지갑, 원격 데스크톱 로그인 정보 등을 노린다.

[여이레 기자(gore@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>