안랩 ASEC 분석팀, 디스코드를 이용한 불법 음란물 위장 정보탈취 악성코드 유포 주의 당부
[보안뉴스 권 준 기자] 음성 채팅 메신저로 유명한 디스코드(Discord)의 ‘무료야동’ 채널을 통해 정보탈취 악성코드가 유포되고 있는 것으로 드러났다.
글로벌 보안업체 안랩 ASEC 분석팀에 따르면 최근 디스코드 메신저를 통해 정보탈취 악성코드가 유포 중이며, 해당 악성코드가 탈취한 정보를 디스코드 API를 이용해 공격자에게 전달하고 있는 것으로 분석됐다.
▲악성코드를 유포하는 불법 성인물 디스코드 채널[자료=안랩 ASEC 분석팀]
디스코드는 채팅 및 음성, 화상 통화를 지원하는 인스턴트 메신저 프로그램으로 국내에서도 자주 사용되는 대표적인 인스턴트 메신저 중 하나이다. 음성 채팅과 같은 기능을 지원해 주기 때문에 게임할 때를 비롯해 친목 도모 목적으로 많이 사용하는 것으로 알려졌다.
이번에 정보탈취형 악성코드를 유포하는 디스코드 서버는 불법 성인물을 판매 및 유통하는 곳으로, 관리자이자 악성코드 제작자는 구체적으로 해당 서버의 ‘무료야동’ 채널에 압축 파일을 업로드하고 사용자들의 실행을 유도하고 있다.
‘run_2.zip’라는 이름의 압축 파일을 풀면 run.exe 실행 파일을 확인할 수 있는데, 이것이 닷넷으로 개발된 실제 악성코드로 알려졌다. 해당 악성코드는 악성코드 실행 시간을 기준으로 2021년 6월 21일 오후 9:29:57 이후에 실행될 경우에는 예외를 발생시키고 종료되며, 만약 이 날짜보다 이전에 실행될 경우에는 악성 행위를 수행하는 것으로 분석됐다.
해당 악성코드는 정상 프로세스인 regasm.exe를 실행하고 내부에 인코딩해서 가지고 있던 악성코드를 디코딩 및 인젝션하게 된다. 일반적으로 국내에 유포되는 악성코드들은 njRAT과 같은 RAT 악성코드가 다수이지만, 공격자는 이러한 악성코드 대신 WebBrowserPassView라는 웹 브라우저 계정 정보 탈취에 사용되는 NirSoft의 유틸리티를 악용하고 있다. 이후 웹 브라우저들에 대한 계정 정보를 탈취한 후, 결과 텍스트 파일을 동일 경로에 data.dll이라는 이름으로 생성시킨 다음, 사용자의 디스코드 토큰(Token)을 탈취하는 것으로 분석됐다.
감염된 사용자의 디스코드 토큰을 공격자에게 전달한 후에는 탈취한 웹 브라우저의 계정 정보 즉, data.dll 파일을 전달하게 되는데, 이때는 사용자 이름, IP 주소, OS 정보, CPU 코어 개수, PC 이름과 함께 파일 형태로 공격자에게 전송된다. 이렇게 탈취한 정보들을 모두 전달한 후에는 웹 브라우저 계정 정보가 담긴 data.dll 파일을 삭제하고 악성행위를 종료하게 된다.
안랩 ASEC 분석팀은 “공격자는 불법 성인물을 공유하는 디스코드 서버에서 정보 탈취 악성코드를 무료 성인물로 위장하여 유포하고 있으며, 이렇게 유포되는 악성코드 또한 디스코드를 악용해 탈취한 정보를 공격자에게 전달하게 된다”며, “사용자들은 이러한 불법 동영상들에 대한 공유 행위가 불법이라는 것을 숙지해야 하며, 알려지지 않은 출처에서 파일을 다운로드하는 행위를 자제해야 한다”고 강조했다.
[권 준 기자(editor@boannews.com)]
[보안뉴스 권 준 기자] 음성 채팅 메신저로 유명한 디스코드(Discord)의 ‘무료야동’ 채널을 통해 정보탈취 악성코드가 유포되고 있는 것으로 드러났다.
글로벌 보안업체 안랩 ASEC 분석팀에 따르면 최근 디스코드 메신저를 통해 정보탈취 악성코드가 유포 중이며, 해당 악성코드가 탈취한 정보를 디스코드 API를 이용해 공격자에게 전달하고 있는 것으로 분석됐다.
▲악성코드를 유포하는 불법 성인물 디스코드 채널[자료=안랩 ASEC 분석팀]
디스코드는 채팅 및 음성, 화상 통화를 지원하는 인스턴트 메신저 프로그램으로 국내에서도 자주 사용되는 대표적인 인스턴트 메신저 중 하나이다. 음성 채팅과 같은 기능을 지원해 주기 때문에 게임할 때를 비롯해 친목 도모 목적으로 많이 사용하는 것으로 알려졌다.
이번에 정보탈취형 악성코드를 유포하는 디스코드 서버는 불법 성인물을 판매 및 유통하는 곳으로, 관리자이자 악성코드 제작자는 구체적으로 해당 서버의 ‘무료야동’ 채널에 압축 파일을 업로드하고 사용자들의 실행을 유도하고 있다.
‘run_2.zip’라는 이름의 압축 파일을 풀면 run.exe 실행 파일을 확인할 수 있는데, 이것이 닷넷으로 개발된 실제 악성코드로 알려졌다. 해당 악성코드는 악성코드 실행 시간을 기준으로 2021년 6월 21일 오후 9:29:57 이후에 실행될 경우에는 예외를 발생시키고 종료되며, 만약 이 날짜보다 이전에 실행될 경우에는 악성 행위를 수행하는 것으로 분석됐다.
해당 악성코드는 정상 프로세스인 regasm.exe를 실행하고 내부에 인코딩해서 가지고 있던 악성코드를 디코딩 및 인젝션하게 된다. 일반적으로 국내에 유포되는 악성코드들은 njRAT과 같은 RAT 악성코드가 다수이지만, 공격자는 이러한 악성코드 대신 WebBrowserPassView라는 웹 브라우저 계정 정보 탈취에 사용되는 NirSoft의 유틸리티를 악용하고 있다. 이후 웹 브라우저들에 대한 계정 정보를 탈취한 후, 결과 텍스트 파일을 동일 경로에 data.dll이라는 이름으로 생성시킨 다음, 사용자의 디스코드 토큰(Token)을 탈취하는 것으로 분석됐다.
감염된 사용자의 디스코드 토큰을 공격자에게 전달한 후에는 탈취한 웹 브라우저의 계정 정보 즉, data.dll 파일을 전달하게 되는데, 이때는 사용자 이름, IP 주소, OS 정보, CPU 코어 개수, PC 이름과 함께 파일 형태로 공격자에게 전송된다. 이렇게 탈취한 정보들을 모두 전달한 후에는 웹 브라우저 계정 정보가 담긴 data.dll 파일을 삭제하고 악성행위를 종료하게 된다.
안랩 ASEC 분석팀은 “공격자는 불법 성인물을 공유하는 디스코드 서버에서 정보 탈취 악성코드를 무료 성인물로 위장하여 유포하고 있으며, 이렇게 유포되는 악성코드 또한 디스코드를 악용해 탈취한 정보를 공격자에게 전달하게 된다”며, “사용자들은 이러한 불법 동영상들에 대한 공유 행위가 불법이라는 것을 숙지해야 하며, 알려지지 않은 출처에서 파일을 다운로드하는 행위를 자제해야 한다”고 강조했다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
