모자이크 제거하고 싶은 이용자의 욕구와 심리 자극
악성코드 감염 시 사용자 키보드 훔쳐 다양한 개인정보 탈취
[보안뉴스 권 준 기자] 파일 공유 프로그램인 토렌트 등에서는 동영상이나 이미지 등이 모자이크가 되어 있는 경우가 많다. 영상이나 사진에 등장한 사람이나 상표를 알아볼 수 없도록 하거나 선정성·폭력성이 극대화된 이미지 등에는 모자이크 처리가 되어 있는 게 일반적이기 때문이다.
▲ 악성코드의 아이콘 사용 모습[자료=순천향대 SCH사이버보안연구센터]
그러나 최근 모자이크된 영상 이미지를 복구 프로그램으로 복구할 수 있다고 속여 프로그램을 다운로드 받도록 하고, 사용자 PC에 악성코드를 감염시키는 행위가 발견됐다.
순천향대 SCH사이버보안연구센터(센터장 염흥열 교수)에 따르면 최근 사용자간 파일 공유 프로그램인 토렌트를 통해 모자이크 복구 프로그램으로 위장한 악성코드가 유포되고 있는 것으로 드러났다.
이러한 모자이크 복구는 특정 이미지에 모자이크 처리된 특정 영역 이미지를 복구해 주는 것으로 위장한다. 토렌트에 올라온 모자이크 제거 프로그램은 모자이크를 제거하고 싶은 이용자의 욕구와 심리를 자극해 이용자로 하여금 해당 악성프로그램을 다운받아 실행케 한다.
공격자는 설치 파일과 같은 아이콘으로 위장해 사용자들을 속이고 있다. 해당 파일을 실행할 경우 또 다른 악성 파일을 생성한다. 생성된 악성 파일은 유명 그래픽카드 회사의 아이콘으로 위장하는 것으로 분석됐다. 이렇게 함으로서 사용자들이 악성코드가 실행되었다는 사실을 인지하지 못하게 한다.
샘플 MD5는 0ab1ed4870a6673f989e408c13d5fa로 해당 악성코드는 시스템에 자동실행 등록을 통해 지속적으로 메모리에 상주하며 이용자의 키보드 입력정보를 받아 로그파일로 저장하게 되는데, 로그파일은 ZIP 파일로 압축해 명령제어 서버로 전송한다. 또한, 방화벽 허용 리스트에 등록해 방화벽에 악성코드가 탐지되지 않도록 한다.
▲ 사용자의 키보드 입력정보를 받아 로그로 저장하는 루틴[자료=순천향대 SCH사이버보안연구센터]
▲ 저장한 로그를 전송하는 루틴[자료=순천향대 SCH사이버보안연구센터]
모자이크 제거 프로그램을 통한 악성코드 유포는 사용자의 심리를 자극하여 다운로드 받게 하고, 악성코드 감염을 유도한다. 이후 토렌트 사이트에서 모자이크 복구 프로그램처럼 현실상 불가능한 프로그램을 제시하면서 사용자에게 다운로드를 유도하는 것이다. 이 악성코드는 키로깅 기능을 가진 악성코드이지만, 이후에는 다른 악성코드도 탑재될 가능성이 있다는 게 센터 측의 설명이다.
순천향대 SCH사이버보안연구센터 양준호 연구생은 “최근 유틸리티 프로그램으로 위장한 악성코드가 지속적으로 유포되고 있으며, 키보드 입력 정보를 빼가기 때문에 이용자의 중요한 개인정보가 유출될 수 있다”라며 “신뢰할 수 없는 토렌트 파일로 다운로드 받은 파일은 함부로 실행하지 말고, 온라인에서 다운로드한 파일 실행시 항상 주의를 기울여야 한다”고 말했다.
[권 준 기자(editor@boannews.com)]
악성코드 감염 시 사용자 키보드 훔쳐 다양한 개인정보 탈취
[보안뉴스 권 준 기자] 파일 공유 프로그램인 토렌트 등에서는 동영상이나 이미지 등이 모자이크가 되어 있는 경우가 많다. 영상이나 사진에 등장한 사람이나 상표를 알아볼 수 없도록 하거나 선정성·폭력성이 극대화된 이미지 등에는 모자이크 처리가 되어 있는 게 일반적이기 때문이다.
▲ 악성코드의 아이콘 사용 모습[자료=순천향대 SCH사이버보안연구센터]
그러나 최근 모자이크된 영상 이미지를 복구 프로그램으로 복구할 수 있다고 속여 프로그램을 다운로드 받도록 하고, 사용자 PC에 악성코드를 감염시키는 행위가 발견됐다.
순천향대 SCH사이버보안연구센터(센터장 염흥열 교수)에 따르면 최근 사용자간 파일 공유 프로그램인 토렌트를 통해 모자이크 복구 프로그램으로 위장한 악성코드가 유포되고 있는 것으로 드러났다.
이러한 모자이크 복구는 특정 이미지에 모자이크 처리된 특정 영역 이미지를 복구해 주는 것으로 위장한다. 토렌트에 올라온 모자이크 제거 프로그램은 모자이크를 제거하고 싶은 이용자의 욕구와 심리를 자극해 이용자로 하여금 해당 악성프로그램을 다운받아 실행케 한다.
공격자는 설치 파일과 같은 아이콘으로 위장해 사용자들을 속이고 있다. 해당 파일을 실행할 경우 또 다른 악성 파일을 생성한다. 생성된 악성 파일은 유명 그래픽카드 회사의 아이콘으로 위장하는 것으로 분석됐다. 이렇게 함으로서 사용자들이 악성코드가 실행되었다는 사실을 인지하지 못하게 한다.
샘플 MD5는 0ab1ed4870a6673f989e408c13d5fa로 해당 악성코드는 시스템에 자동실행 등록을 통해 지속적으로 메모리에 상주하며 이용자의 키보드 입력정보를 받아 로그파일로 저장하게 되는데, 로그파일은 ZIP 파일로 압축해 명령제어 서버로 전송한다. 또한, 방화벽 허용 리스트에 등록해 방화벽에 악성코드가 탐지되지 않도록 한다.
▲ 사용자의 키보드 입력정보를 받아 로그로 저장하는 루틴[자료=순천향대 SCH사이버보안연구센터]
▲ 저장한 로그를 전송하는 루틴[자료=순천향대 SCH사이버보안연구센터]
모자이크 제거 프로그램을 통한 악성코드 유포는 사용자의 심리를 자극하여 다운로드 받게 하고, 악성코드 감염을 유도한다. 이후 토렌트 사이트에서 모자이크 복구 프로그램처럼 현실상 불가능한 프로그램을 제시하면서 사용자에게 다운로드를 유도하는 것이다. 이 악성코드는 키로깅 기능을 가진 악성코드이지만, 이후에는 다른 악성코드도 탑재될 가능성이 있다는 게 센터 측의 설명이다.
순천향대 SCH사이버보안연구센터 양준호 연구생은 “최근 유틸리티 프로그램으로 위장한 악성코드가 지속적으로 유포되고 있으며, 키보드 입력 정보를 빼가기 때문에 이용자의 중요한 개인정보가 유출될 수 있다”라며 “신뢰할 수 없는 토렌트 파일로 다운로드 받은 파일은 함부로 실행하지 말고, 온라인에서 다운로드한 파일 실행시 항상 주의를 기울여야 한다”고 말했다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
