▲파일 공유 사이트에 업로드 된 ‘한글2022 크랙’ 설치파일로 위장한 악성 파일 / 사진=안랩
안랩(대표 강석균)은 최근 ‘한글 2022 크랙’ 설치파일로 위장한 파일을 파일 공유 사이트에 올려 암호화폐 채굴 및 원격제어 악성코드 등을 유포하는 사례를 발견했다고 23일 밝혔다.
공격자는 먼저 웹하드, 토렌트 등 국내 다수 파일공유 사이트에 ‘한글2022 (★일반 사용자용 영구 정품 인증)’이라는 제목으로 악성 압축 파일을 업로드했다.
사용자가 다운로드한 파일의 압축을 해제한 후 ‘install.exe’을 실행하면 ‘한글2022’ 크랙 설치파일과 함께 악성코드를 외부에서 다운로드 받도록 하는 명령이 사용자 몰래 실행된다. 이 때 사용자의 PC에 V3 설치 여부에 따라 다른 종류의 악성코드 설치가 시도된다.
사용자 PC에 V3가 없으면 원격제어 악성코드인 ‘Orcus RAT’가 다운로드 된다. 'Orcus RAT’에 감염될 경우 공격자가 사용자PC를 원격으로 제어할 수 있는 권한을 획득할 수 있다. 공격자는 이 권한을 활용해 추가 명령을 내려 정보 탈취 등 다양한 악성행위를 수행할 수 있다. V3가 설치돼 있을 경우에는 암호화폐 채굴 악성코드 ‘XMRig’ 설치를 시도한다.
현재 V3는 해당 악성코드 2종을 모두 진단하고 있다.
사용자는 피해를 예방하기 위해 ▲불법 콘텐츠 다운로드 금지 ▲인터넷에서 파일 다운로드 시 공식 홈페이지 이용 ▲운영체제(OS) 및 인터넷 브라우저, 응용프로그램, 오피스 소프트웨어(SW) 등 프로그램의 최신 버전 유지 및 보안 패치 적용 ▲최신 버전 백신 사용 및 실시간 감시 적용 등 기본 보안 수칙을 준수해야 한다.
이재진 안랩 분석팀 주임연구원은 “이번 사례는 한글 프로그램 정품 및 제공사와 무관하게 공격자가 유명 SW 불법 설치파일을 위장해 공격에 이용한 것”이라며 “불법 경로로 SW나 게임 등의 콘텐츠를 이용하는 경우 위협에 노출될 가능성이 큰 만큼 사용자는 반드시 정식 콘텐츠를 이용해야 한다”고 말했다.
김민지 기자 honest@datanews.co.kr
[ⓒ데이터저널리즘의 중심 데이터뉴스 - 무단전재 & 재배포 금지]
(주)데이터뉴스 | 제호 : 데이터뉴스 | 등록번호 : 서울 아 00189 | 등록일 : 2006.04.07 | 발행일 : 2001.09.03
발행인· 편집인 : 오창규 | 편집국장 : 임윤규 | 청소년보호책임자 : 하정숙
발행소 : 서울 종로구 새문안로92. 1120호(신문로1가 163, 광화문오피시아) | Tel : 02-739-5788 | FAX : 02-739-5789
Copyright ⓒ 2006 by Datanews. All rights reserved.
발행인· 편집인 : 오창규 | 편집국장 : 임윤규 | 청소년보호책임자 : 하정숙
발행소 : 서울 종로구 새문안로92. 1120호(신문로1가 163, 광화문오피시아) | Tel : 02-739-5788 | FAX : 02-739-5789
Copyright ⓒ 2006 by Datanews. All rights reserved.