네이트 사칭한 피싱사이트에서 게임 실행화면 탈취하는 악성코드 발견
시스템 복구 동작 방해, 악성코드 생존 주기 연장, 게임 관련 정보 탈취
[보안뉴스 김경애] 네이트 피싱 사이트에서 게임 실행화면을 탈취하는 악성코드가 발견돼 이용자들의 주의가 요구된다. 기존 피싱 사이트의 경우 금전을 노린 계정정보나 금융정보를 노리는 반면, 이번에 발견된 피싱 사이트의 경우 게임 분야에 특화된 APT 공격으로 더욱 주목받고 있다.
6일 잉카인터넷 대응팀에 따르면 네이트 피싱사이트 nete.kr(115.**.***.158)에서 atotal3.exe 악성코드가 유포됐다며 정상 사이트(nate.com)와 URL이 비슷하고, 화면도 매우 흡사해 이용자가 쉽게 정상 사이트로 착각할 수 있다며 주의를 당부했다.
네이트를 사칭한 피싱 사이트의 소스코드에는 세 개의 악성함수가 숨겨져 있으며, 이 함수를 통해 악성코드를 다운받을 수 있다.
잉카인터넷 대응팀 측은 “악성코드 atotal3.exe는 최초 실행 시 다른 여러 악성파일을 System32 폴더 하위에 생성하고 각각 실행시킨다”며 “재부팅 이후에는 atotal3.exe가 아닌 새로 실행된 프로세스로부터 또 다른 파일들이 생성 실행된다”고 밝혔다.
악성행위로는 시스템 복구 동작 방해 기능이 있으며, 반복 실행 업데이트 구조를 갖고 있는 악성파일(wmxmic.exe)을 다운로드 받도록 해 악성코드의 생존주기를 연장시킨다. 뿐만 아니라 게임관련 정보를 탈취하는 것으로 분석됐다.
이에 대해 잉카인터넷 대응팀 측은 “atotal3.exe는 안티 백신보다 PC 복구 방해를 통한 감염 지속에 초점을 맞추고 있다”며 “PC방 PC는 보통 실시간 감시 기능을 사용하지 않고, 재부팅 될 때마다 PC를 복구(롤백)하는 방식으로 시스템을 유지하기 때문에 많은 사람이 이용하는 영업용 PC에 더 위협적일 수 있다”고 설명했다. 즉 재부팅되어도 악성코드가 남아 있어 PC 복구를 방해한다는 얘기다.
.jpg)
특히, 공격대상 중 하나인 ComBack 5의 경우 PC방 관리 프로그램 제작업체에서 만든 전용 유틸리티로 알려졌다.
이에 잉카인터넷 대응팀 측은 “맞고, 포커 등 사행성 게임 머니의 경우 현금 거래가 가능하다”며 “게임화면을 캡쳐하는 방식으로 동작하기 때문에 로그인 알림, OTP 등의 계정 보안 서비스와는 무관하게 피해를 입을 수 있다”고 덧붙였다.
잉카인터넷 정영석 이사는 “이용자는 게임 피싱 사이트에 주의해야 하고, 내려받는 프로그램에 악성파일을 실행할 수 있는 함수가 숨겨져 있을 수 있어 정상파일이 아니면 실행하지 않도록 주의해야 한다”며 “특히, 게임 분야에 특화된 공격으로 기존에 유포된 악성코드를 결합시킨 APT 공격이다. 기존에 게임을 이용하던 이용자들은 아이디와 패스워드 등 계정정보를 변경해야 하며, 최선 버전으로 백신을 업데이트하고 주기적으로 검사할 것”을 당부했다.
[김경애 기자(boan3@boannews.com)]
시스템 복구 동작 방해, 악성코드 생존 주기 연장, 게임 관련 정보 탈취
[보안뉴스 김경애] 네이트 피싱 사이트에서 게임 실행화면을 탈취하는 악성코드가 발견돼 이용자들의 주의가 요구된다. 기존 피싱 사이트의 경우 금전을 노린 계정정보나 금융정보를 노리는 반면, 이번에 발견된 피싱 사이트의 경우 게임 분야에 특화된 APT 공격으로 더욱 주목받고 있다.
6일 잉카인터넷 대응팀에 따르면 네이트 피싱사이트 nete.kr(115.**.***.158)에서 atotal3.exe 악성코드가 유포됐다며 정상 사이트(nate.com)와 URL이 비슷하고, 화면도 매우 흡사해 이용자가 쉽게 정상 사이트로 착각할 수 있다며 주의를 당부했다.
네이트를 사칭한 피싱 사이트의 소스코드에는 세 개의 악성함수가 숨겨져 있으며, 이 함수를 통해 악성코드를 다운받을 수 있다.
잉카인터넷 대응팀 측은 “악성코드 atotal3.exe는 최초 실행 시 다른 여러 악성파일을 System32 폴더 하위에 생성하고 각각 실행시킨다”며 “재부팅 이후에는 atotal3.exe가 아닌 새로 실행된 프로세스로부터 또 다른 파일들이 생성 실행된다”고 밝혔다.
악성행위로는 시스템 복구 동작 방해 기능이 있으며, 반복 실행 업데이트 구조를 갖고 있는 악성파일(wmxmic.exe)을 다운로드 받도록 해 악성코드의 생존주기를 연장시킨다. 뿐만 아니라 게임관련 정보를 탈취하는 것으로 분석됐다.
이에 대해 잉카인터넷 대응팀 측은 “atotal3.exe는 안티 백신보다 PC 복구 방해를 통한 감염 지속에 초점을 맞추고 있다”며 “PC방 PC는 보통 실시간 감시 기능을 사용하지 않고, 재부팅 될 때마다 PC를 복구(롤백)하는 방식으로 시스템을 유지하기 때문에 많은 사람이 이용하는 영업용 PC에 더 위협적일 수 있다”고 설명했다. 즉 재부팅되어도 악성코드가 남아 있어 PC 복구를 방해한다는 얘기다.
특히, 공격대상 중 하나인 ComBack 5의 경우 PC방 관리 프로그램 제작업체에서 만든 전용 유틸리티로 알려졌다.
이에 잉카인터넷 대응팀 측은 “맞고, 포커 등 사행성 게임 머니의 경우 현금 거래가 가능하다”며 “게임화면을 캡쳐하는 방식으로 동작하기 때문에 로그인 알림, OTP 등의 계정 보안 서비스와는 무관하게 피해를 입을 수 있다”고 덧붙였다.
잉카인터넷 정영석 이사는 “이용자는 게임 피싱 사이트에 주의해야 하고, 내려받는 프로그램에 악성파일을 실행할 수 있는 함수가 숨겨져 있을 수 있어 정상파일이 아니면 실행하지 않도록 주의해야 한다”며 “특히, 게임 분야에 특화된 공격으로 기존에 유포된 악성코드를 결합시킨 APT 공격이다. 기존에 게임을 이용하던 이용자들은 아이디와 패스워드 등 계정정보를 변경해야 하며, 최선 버전으로 백신을 업데이트하고 주기적으로 검사할 것”을 당부했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
