바둑이, 맞고, 홀덤 등 사행성 게임 하려다 WrnRAT 등 악성코드 감염
Batch 악성코드로 시작해 드로퍼, WrnRAT 등 설치...개인정보 유출 및 금전적 손해 발생
[보안뉴스 박은주 기자] 최근 사행성 게임을 위장한 악성코드가 유포되고 있어 각별한 주의가 요구된다. ASEC(안랩 시큐리티 인텔리전스 센터)에 따르면 공격자는 바둑이, 맞고, 홀덤과 같은 사행성 게임 홈페이지를 제작했다. 사용자가 게임 접속기를 내려받으면 감염 시스템을 제어하고 정보를 탈취할 수 있는 악성코드가 설치되는 것이다.
▲사행성 게임 위장 다운로드 페이지[이미지=ASEC]
ASEC는 해당 악성코드를 공격자가 직접 제작한 것으로 파악했고, 사용된 문자열을 기반으로 ‘WrnRAT’라고 명명했다. WrnRAT는 사용자의 화면을 캡쳐해 전송하고 기본적인 시스템 정보 전송 및 특정 프로세스를 종료하는 기능을 지원한다. 탈취한 스크린샷을 바탕으로 게임 사용자의 진행 상황을 확인하는 등의 방법으로 금전적인 손해를 끼치게 된다. 이렇듯 공격자는 금전적 이익을 목적으로 악성코드를 유포하는 것으로 보인다.
감염 시스템에 최초로 설치되는 것은 ‘Batch 악성코드’다. 이는 윈도우 디펜더를 비활성화하고, 추가적인 악성코드를 시스템이 설치할 수 있는 드로퍼를 설치한다. Batch 악성코드 스크립트에는 한글로 작성된 주석이 확인됐다.
▲WrnRAT이 지원하는 명령[이미지=ASEC]
드로퍼 악성코드는 △Installer2.exe △Installer3.exe △installerABAB.exe 등 이름으로 유포되며 닷넷으로 개발됐다. 실행 시 런처 및 WrnRAT를 생성하며 악성 행위를 이어간다. 이후 런처를 통해 WrnRAT를 실행한 후 자가 삭제하는 것으로 밝혀졌다. 이때 WrnRAT는 인터넷 익스플로러를 위장한 경로에 ‘iexplorer.exe’라는 이름으로 생성됐다. 공격자는 이 외에도 방화벽을 설정하는 추가적인 악성코드를 제작해 사용하고 있다.
한편 WrnRAT는 파이썬으로 개발됐고, 파이인스톨러(PyInstaller)를 이용해 실행 파일 형태로 유포되고 있다. 이때 파이인스톨러는 파이썬이 설치되지 않은 환경에서도 파이썬 스크립트가 동작할 수 있도록 실행 파일로 변환해 주는 도구다.
▲악성코드 유포에 사용된 플랫폼[이미지=ASEC]
위 내용은 공격 사례 중 하나이며 이 밖에도 컴퓨터 최적화 프로그램으로 위장해 악성코드가 유포된 정황도 확인됐다. 악성코드 유포에는 파일을 공유할 수 있는 웹 서버 소프트웨어 HFS 등 플랫폼이 사용됐다.
사용자들은 불법 및 의심스러운 출처에서 설치 프로그램을 내려받는 것을 지양해야 한다. 또한 V3 등 백신 프로그램을 최신 버전으로 업데이트해 악성코드 감염을 사전에 차단할 수 있도록 주의를 기울여야 한다.
[박은주 기자(boan5@boannews.com)]
Batch 악성코드로 시작해 드로퍼, WrnRAT 등 설치...개인정보 유출 및 금전적 손해 발생
[보안뉴스 박은주 기자] 최근 사행성 게임을 위장한 악성코드가 유포되고 있어 각별한 주의가 요구된다. ASEC(안랩 시큐리티 인텔리전스 센터)에 따르면 공격자는 바둑이, 맞고, 홀덤과 같은 사행성 게임 홈페이지를 제작했다. 사용자가 게임 접속기를 내려받으면 감염 시스템을 제어하고 정보를 탈취할 수 있는 악성코드가 설치되는 것이다.
▲사행성 게임 위장 다운로드 페이지[이미지=ASEC]
ASEC는 해당 악성코드를 공격자가 직접 제작한 것으로 파악했고, 사용된 문자열을 기반으로 ‘WrnRAT’라고 명명했다. WrnRAT는 사용자의 화면을 캡쳐해 전송하고 기본적인 시스템 정보 전송 및 특정 프로세스를 종료하는 기능을 지원한다. 탈취한 스크린샷을 바탕으로 게임 사용자의 진행 상황을 확인하는 등의 방법으로 금전적인 손해를 끼치게 된다. 이렇듯 공격자는 금전적 이익을 목적으로 악성코드를 유포하는 것으로 보인다.
감염 시스템에 최초로 설치되는 것은 ‘Batch 악성코드’다. 이는 윈도우 디펜더를 비활성화하고, 추가적인 악성코드를 시스템이 설치할 수 있는 드로퍼를 설치한다. Batch 악성코드 스크립트에는 한글로 작성된 주석이 확인됐다.
▲WrnRAT이 지원하는 명령[이미지=ASEC]
드로퍼 악성코드는 △Installer2.exe △Installer3.exe △installerABAB.exe 등 이름으로 유포되며 닷넷으로 개발됐다. 실행 시 런처 및 WrnRAT를 생성하며 악성 행위를 이어간다. 이후 런처를 통해 WrnRAT를 실행한 후 자가 삭제하는 것으로 밝혀졌다. 이때 WrnRAT는 인터넷 익스플로러를 위장한 경로에 ‘iexplorer.exe’라는 이름으로 생성됐다. 공격자는 이 외에도 방화벽을 설정하는 추가적인 악성코드를 제작해 사용하고 있다.
한편 WrnRAT는 파이썬으로 개발됐고, 파이인스톨러(PyInstaller)를 이용해 실행 파일 형태로 유포되고 있다. 이때 파이인스톨러는 파이썬이 설치되지 않은 환경에서도 파이썬 스크립트가 동작할 수 있도록 실행 파일로 변환해 주는 도구다.
▲악성코드 유포에 사용된 플랫폼[이미지=ASEC]
위 내용은 공격 사례 중 하나이며 이 밖에도 컴퓨터 최적화 프로그램으로 위장해 악성코드가 유포된 정황도 확인됐다. 악성코드 유포에는 파일을 공유할 수 있는 웹 서버 소프트웨어 HFS 등 플랫폼이 사용됐다.
사용자들은 불법 및 의심스러운 출처에서 설치 프로그램을 내려받는 것을 지양해야 한다. 또한 V3 등 백신 프로그램을 최신 버전으로 업데이트해 악성코드 감염을 사전에 차단할 수 있도록 주의를 기울여야 한다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png){kind=spacer}
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
