기사 메일전송
안랩, 윈도우 불법 사용자 노린 원격 제어·채굴 악성코드 피하려면
  • 기사등록 2022-08-18 19:07:57
기사수정

안랩이 최근 불법으로 설치한 윈도우의 정품 인증을 위한 ‘불법 인증 툴’로 위장한 파일을 파일공유 사이트 등에 올려 악성코드를 유포하는 사례를 발견해 사용자의 주의를 당부했다.



▲ (자료=안랩) 파일공유 사이트에 업로드 된 불법 인증 툴 위장 악성파일


먼저 공격자는 국내 다수 파일공유 사이트에 ‘KMS Tools’, ‘KMS Tools Portable’ 등의 제목으로 불법 윈도우 정품 인증 툴(이하 불법 인증 툴)을 위장한 압축파일(.7z)을 업로드했다.


사용자가 다운로드 받은 파일의 압축을 해제하고 내부의 실행파일(KMS Tools Unpack.exe)을 실행할 경우 BitRAT이라는 원격 제어 악성코드가 외부 다운로드 방식으로 추가 설치된다. BitRAT 악성코드는 설치 이후 감염 PC를 원격 제어할 수 있을 뿐만 아니라 개인정보 탈취, 암호화폐 채굴 등 다양한 악성 행위를 수행할 수 있다.


만약 해당 PC에 V3가 설치된 환경이라면 이를 감지해 원격 제어 악성코드가 아닌 ‘XMRig’라는 암호화폐 채굴 악성코드만 설치한다. 이는 V3가 설치된 환경에서 원격 제어 악성코드의 악성 행위가 명확하게 진단될 수 있기 때문인 것으로 추정된다.


현재 V3는 원격 제어 및 채굴 악성코드가 설치되기 전인 악성 실행파일(KMS Tools Unpack.exe) 실행 시점에서 해당 악성파일을 진단한다.


이재진 안랩 분석팀 주임연구원은 “파일공유 사이트 등에서 제품을 불법으로 다운로드하는 사용자를 노린 공격은 지속해서 발생하고 있다”며 “공격자는 앞으로 파일의 이름을 바꿔 다양한 파일공유 사이트에서 유사한 공격을 이어갈 것으로 예상되기 때문에 사용자는 반드시 공식 경로로 콘텐츠를 이용해야 한다”고 말했다.


<저작권자 (c) KN NEWS, 무단 전재- 재배포 금지 >
관련기사
TAG
0
기사수정

다른 곳에 퍼가실 때는 아래 고유 링크 주소를 출처로 사용해주세요.

http://knnws.com/news/view.php?idx=16427
기자프로필
프로필이미지
  • 김상중 기자 김상중 기자의 다른 기사 보기
  • 진실된 정보, 내일의 예측, 세상의 방향을 제시하는 언론 KN NEWS

    Knowledge-Network NEWS 를 의미하는 KN NEWS에는 특별한 정보가 존재합니다.
    시중의 뉴스에서 다루지 않는 내용이나 언론에서 쉽게 접할 수 없는 기사를 제공합니다.
    정치, 경제와 사회 그리고 '기업과 산업'을 심도깊게 취재하면서 특별한 정보를 제공합니다.
    세상의 현재를 알려주고 내일을 예측할 수 있게 만드는 정보의 요람 역할을 하고 있습니다.
    시민들과 실시간으로 함께 하는 신문 KN NEWS가 있습니다.
    KN NEWS는 기사의 수준으로 신문사 소개를 대신하겠습니다.

나도 한마디
※ 로그인 후 의견을 등록하시면, 자신의 의견을 관리하실 수 있습니다. 0/1000
모바일 버전 바로가기