UPDATED. 2024-03-28 16:55 (목)
"윈도 불법 사용자 노린 원격제어·채굴 악성코드 유포 주의"
"윈도 불법 사용자 노린 원격제어·채굴 악성코드 유포 주의"
  • 박광하 기자
  • 승인 2022.08.18 16:49
  • 댓글 0
이 기사를 공유합니다

파일공유사이트 통해
윈도 정품 인증 크랙 툴 위장
악성 압축파일 유포 사례 확인
파일공유 사이트에 업로드된 불법 인증 툴 위장 악성파일. [자료=안랩]
파일공유 사이트에 업로드된 불법 인증 툴 위장 악성파일. [자료=안랩]

[정보통신신문=박광하기자]

안랩(Ahnlab, 대표 강석균)은 최근 윈도 운영체제(Windows OS)의 정품 인증 우회를 위한 '불법 인증툴'로 위장한 파일이 파일공유 사이트 등에서 유포되고 있으며, 해당 프로그램에서 악성코드가 포함된 사례를 발견했다며 사용자의 주의를 당부했다.

먼저 공격자는 국내 다수 파일공유 사이트에 'KMS Tools', 'KMS Tools Portable' 등의 제목으로 불법 윈도 정품인증툴로 위장한 압축파일(.7z)을 업로드했다.

사용자가 다운로드 받은 파일의 압축을 해제하고 내부의 실행파일(KMS Tools Unpack.exe)을 실행할 경우 'BitRAT'이라는 원격제어 악성코드가 외부 다운로드 방식으로 추가 설치된다.

BitRAT은 설치 이후 감염 PC를 원격제어할 수 있을 뿐만 아니라 개인정보 탈취, 암호화폐 채굴 등 다양한 악성행위를 수행할 수 있다.

만약 해당 PC에 V3가 설치된 환경이라면 이를 감지해 원격제어 악성코드가 아닌 'XMRig'라는 암호화폐 채굴 악성코드만 설치한다.

이는 V3가 설치된 환경에서 원격제어 악성코드의 악성행위가 명확하게 진단될 수 있기 때문인 것으로 추정된다.

현재 V3는 원격제어 및 채굴 악성코드가 설치되기 전인 악성 실행파일(KMS Tools Unpack.exe) 실행 시점에서 해당 악성파일을 진단한다.

이재진 안랩 분석팀 주임연구원은 "파일공유 사이트 등에서 제품을 불법으로 다운로드하는 사용자를 노린 공격은 지속적으로 발생하고 있다"며 "공격자는 앞으로 파일의 이름을 바꿔 다양한 파일공유 사이트에서 유사한 공격을 이어갈 것으로 예상되기 때문에 사용자는 반드시 공식 경로로 콘텐츠를 이용해야 한다"고 말했다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • [인터넷 신문 등록 사항] 명칭 : ㈜한국정보통신신문사
  • 등록번호 : 서울 아04447
  • 등록일자 : 2017-04-06
  • 제호 : 정보통신신문
  • 대표이사·발행인 : 함정기
  • 편집인 : 이민규
  • 편집국장 : 박남수
  • 서울특별시 용산구 한강대로 308 (한국정보통신공사협회) 정보통신신문사
  • 발행일자 : 2024-03-28
  • 대표전화 : 02-597-8140
  • 팩스 : 02-597-8223
  • 청소년보호책임자 : 이민규
  • 사업자등록번호 : 214-86-71864
  • 통신판매업등록번호 : 제 2019-서울용산-0472호
  • 정보통신신문의 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재·복사·배포 등을 금합니다.
  • Copyright © 2011-2024 정보통신신문. All rights reserved. mail to webmaster@koit.co.kr
한국인터넷신문협회 인터넷신문위원회 abc협회 인증 ND소프트