안랩 ASEC 분석팀, 웹하드나 토렌트 통한 njRAT 악성코드 감염 주의 당부
자료 공유 사이트에서 다운받은 실행파일은 각별한 주의 필요
유틸리티 및 게임 등의 프로그램은 공식 홈페이지에서 다운로드 받아야
[보안뉴스 권 준 기자] 최근 국내 유명 웹하드와 토렌트를 통한 개인정보 탈취 목적의 악성코드가 유포되고 있는 것으로 드러났다. 보안전문 업체 안랩의 ASEC 분석팀은 사용자의 개인정보를 탈취하고 공격자의 명령을 받아 실행할 수 있는 RAT의 일종인 ‘njRAT’ 악성코드가 국내에서 개인을 상대로 꾸준히 유포되고 있다며 주의를 당부했다.
▲웹하드 게시판에 업로드된 악성코드[자료=안랩 ASEC 분석팀]
안랩 ASEC 분석팀이 발표한 지난 8월 첫째 주 국내 악성코드 유포 현황 통계에서도 전체 6.9%를 차지한 ‘njRAT’ 악성코드는 대부분 특정 국산 무료 도메인 서비스에서 kro.kr나 p-e.kr와 같은 도메인 주소를 활용하여 악성 명령제어(C&C) 서버 주소를 얻어오는 것으로 알려졌다.
njRAT은 주로 웹하드나 토렌트 등 자료 공유 사이트를 통해 게임, 인증 툴, 유틸리티 등의 정상 파일로 위장하여 유포되며, 대부분의 경우 원본 프로그램이 실행됨과 동시에 악성코드가 감염되어 사용자 입장에서는 감염 사실을 파악하기 쉽지 않다.
ASEC 분석팀은 njRAT 악성코드가 국내 웹하드 사이트를 통해 유포 중인 사례를 발견했다. 최근 유포된 njRAT의 파일명을 기반으로 역추적한 결과 국내 유명 웹하드 사이트에서 유포 중인 게시글을 확인할 수 있었다는 설명이다.
▲악성코드 포함된 압축파일[자료=안랩 ASEC 분석팀]
이와 함께 동일 사이트에서 이전에 업로드된 악성코드가 포함되지 않은 원본 자료를 찾을 수 있었는데 두 자료를 비교해본 결과, 악성 압축파일 내부에는 정상과 다르게 savework.dll과 d4work.dll 파일이 추가된 것으로 분석됐다. savework.dll은 이름이 변경된 정상 Game.exe 파일이며, d4work.dll이 실제 njRAT 악성코드다. 두 파일 모두 파일 확장명은 .dll이지만 실제로는 실행파일(.exe)이다.
공격자는 원본 자료에서 게임 실행 파일의 이름을 변경하고 악성코드를 추가한 뒤, 악성코드와 게임을 동시에 실행하는 실행파일을 제작해 유포했다. 공격자가 제작해 추가한 Game.exe는 Vbs2Exe로 제작된 파일이며 정상 Game.exe 아이콘으로 위장했다. Vbs2Exe는 스크립트 언어인 VBS를 PE 형태의 실행파일로 만들어 주는 프로그램으로, 이렇게 빌드된 파일은 리소스 영역의 명령어를 로드해 실행되는 구조를 갖는 것으로 드러났다.
해당 파일이 실행되면 명령어를 통해 d4work.dll(njRAT 악성코드)와 savework.dll(원본 Game.exe)이 실행되어 악성코드에 감염되는 동시에 게임이 실행된다는 게 ASEC 분석팀 측의 설명이다.
최근 약 일주일간 유포된 njRAT 악성코드 중 웹하드를 통해 유포된 것으로 추정되는 사례의 파일명 및 상대경로명 일부는 이래와 같다. 대다수가 게임 및 유틸리티로 위장해 유포되고 있으며, 특정 웹하드가 아닌 다수의 국내 웹하드 사이트가 유포지가 되고 있는 것으로 드러났다.
-\X디스크\[rj289299]asylum\세라앤노엘 -붙잡힌 공주의 행방-\game.exe
-\프린세스퀘스트 수치와굴욕 ver101\새 폴더\game.exe
-\motherslessons\game.exe
-\핫한 여자랑 노는게임!\the lady is in heat\d3dcompiler_46.dll
-\fileXX\(190329)有料プラン限定rpg bewitching sword2 ver.1.0\steam.com
-\윈도우 10 정품 인증기\윈도우10 정품 인증기.exe
-\복음의 apostle\d4work.dll
-\X디스크\sinnenn_ver1\game\d4work.dll
-\하드번호 변경하기\set up.exe
-\한컴2020\set up.exe
-\서든핵sa (1)\sa.exe
-\X디스크\대출아내\ps\aaeget.exe
-\무인도생활\d3dcompiler_46.dll
-\나루토eget.exe
-\파일X 다운로드\[rj291663] 여기사 프레이 1.0eget.exe
안랩 ASEC 분석팀은 “국내 웹하드 등 자료 공유 사이트를 통해 악성코드가 활발하게 유포되고 있어 주의가 필요하다”며, “자료 공유 사이트에서 다운받은 실행파일은 각별히 주의해야 하며, 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다”고 당부했다.
[권 준 기자(editor@boannews.com)]
자료 공유 사이트에서 다운받은 실행파일은 각별한 주의 필요
유틸리티 및 게임 등의 프로그램은 공식 홈페이지에서 다운로드 받아야
[보안뉴스 권 준 기자] 최근 국내 유명 웹하드와 토렌트를 통한 개인정보 탈취 목적의 악성코드가 유포되고 있는 것으로 드러났다. 보안전문 업체 안랩의 ASEC 분석팀은 사용자의 개인정보를 탈취하고 공격자의 명령을 받아 실행할 수 있는 RAT의 일종인 ‘njRAT’ 악성코드가 국내에서 개인을 상대로 꾸준히 유포되고 있다며 주의를 당부했다.
▲웹하드 게시판에 업로드된 악성코드[자료=안랩 ASEC 분석팀]
안랩 ASEC 분석팀이 발표한 지난 8월 첫째 주 국내 악성코드 유포 현황 통계에서도 전체 6.9%를 차지한 ‘njRAT’ 악성코드는 대부분 특정 국산 무료 도메인 서비스에서 kro.kr나 p-e.kr와 같은 도메인 주소를 활용하여 악성 명령제어(C&C) 서버 주소를 얻어오는 것으로 알려졌다.
njRAT은 주로 웹하드나 토렌트 등 자료 공유 사이트를 통해 게임, 인증 툴, 유틸리티 등의 정상 파일로 위장하여 유포되며, 대부분의 경우 원본 프로그램이 실행됨과 동시에 악성코드가 감염되어 사용자 입장에서는 감염 사실을 파악하기 쉽지 않다.
ASEC 분석팀은 njRAT 악성코드가 국내 웹하드 사이트를 통해 유포 중인 사례를 발견했다. 최근 유포된 njRAT의 파일명을 기반으로 역추적한 결과 국내 유명 웹하드 사이트에서 유포 중인 게시글을 확인할 수 있었다는 설명이다.
▲악성코드 포함된 압축파일[자료=안랩 ASEC 분석팀]
이와 함께 동일 사이트에서 이전에 업로드된 악성코드가 포함되지 않은 원본 자료를 찾을 수 있었는데 두 자료를 비교해본 결과, 악성 압축파일 내부에는 정상과 다르게 savework.dll과 d4work.dll 파일이 추가된 것으로 분석됐다. savework.dll은 이름이 변경된 정상 Game.exe 파일이며, d4work.dll이 실제 njRAT 악성코드다. 두 파일 모두 파일 확장명은 .dll이지만 실제로는 실행파일(.exe)이다.
공격자는 원본 자료에서 게임 실행 파일의 이름을 변경하고 악성코드를 추가한 뒤, 악성코드와 게임을 동시에 실행하는 실행파일을 제작해 유포했다. 공격자가 제작해 추가한 Game.exe는 Vbs2Exe로 제작된 파일이며 정상 Game.exe 아이콘으로 위장했다. Vbs2Exe는 스크립트 언어인 VBS를 PE 형태의 실행파일로 만들어 주는 프로그램으로, 이렇게 빌드된 파일은 리소스 영역의 명령어를 로드해 실행되는 구조를 갖는 것으로 드러났다.
해당 파일이 실행되면 명령어를 통해 d4work.dll(njRAT 악성코드)와 savework.dll(원본 Game.exe)이 실행되어 악성코드에 감염되는 동시에 게임이 실행된다는 게 ASEC 분석팀 측의 설명이다.
최근 약 일주일간 유포된 njRAT 악성코드 중 웹하드를 통해 유포된 것으로 추정되는 사례의 파일명 및 상대경로명 일부는 이래와 같다. 대다수가 게임 및 유틸리티로 위장해 유포되고 있으며, 특정 웹하드가 아닌 다수의 국내 웹하드 사이트가 유포지가 되고 있는 것으로 드러났다.
-\X디스크\[rj289299]asylum\세라앤노엘 -붙잡힌 공주의 행방-\game.exe
-\프린세스퀘스트 수치와굴욕 ver101\새 폴더\game.exe
-\motherslessons\game.exe
-\핫한 여자랑 노는게임!\the lady is in heat\d3dcompiler_46.dll
-\fileXX\(190329)有料プラン限定rpg bewitching sword2 ver.1.0\steam.com
-\윈도우 10 정품 인증기\윈도우10 정품 인증기.exe
-\복음의 apostle\d4work.dll
-\X디스크\sinnenn_ver1\game\d4work.dll
-\하드번호 변경하기\set up.exe
-\한컴2020\set up.exe
-\서든핵sa (1)\sa.exe
-\X디스크\대출아내\ps\aaeget.exe
-\무인도생활\d3dcompiler_46.dll
-\나루토eget.exe
-\파일X 다운로드\[rj291663] 여기사 프레이 1.0eget.exe
안랩 ASEC 분석팀은 “국내 웹하드 등 자료 공유 사이트를 통해 악성코드가 활발하게 유포되고 있어 주의가 필요하다”며, “자료 공유 사이트에서 다운받은 실행파일은 각별히 주의해야 하며, 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다”고 당부했다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
