check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

[긴급] 토렌트서 살포중인 가짜 HWP2018 파일은 해킹 프로그램…주의

한글2018 무설치 인증판 처럼 위장…설치시 해킹프로그램 작동돼

길민권 기자 mkgil@dailysecu.com 2017년 12월 05일 화요일

▲ 토렌트에서 유포중인 악성 파일 화면. 이스트시큐리티.
▲ 토렌트에서 유포중인 악성 파일 화면. 이스트시큐리티.
지난 12월 3일부터 동일한 공격자로 추정되는 인물이 불특정 다수를 대상으로 한글문서 파일처럼 위장해 새로운 악성파일을 토렌트로 유포시키고 있어 각별한 주의가 필요한 상황이다.

공격자는 마치 최신 HWP2018 의 무설치 인증판 파일처럼 위장해 ‘Orcus RAT’ 원격 해킹 기능 악성파일을 토렌트 사이트에서 유포하고 있는 것으로 확인됐다.

지난 번에는 실제로 판매하지 않는 '한글 2017' 제품으로 위장했지만, 이번엔 '한글 2018' 최신 제품으로 위장한 특징이 있다.

현재 해당 파일은 토렌트 인기자료 2순위에 등록되어 있을 정도로 많은 이용자들이 다운로드하고 있는 상태이며, 정상적인 프로그램처럼 위장하기 위해 나름 1.3G 정도의 대용량 파일크기로 만들어져 있다.

이용자가 'HWP2018 무설치 인증판.torrent' 파일을 이용해 프로그램을 다운로드하면 실제로 약 1.33G 크기의 폴더가 생성된다.

폴더 내부에는 다양한 파일과 하위 폴더가 포함되어 있으며 가장 상위 경로에 'HWP2018.exe' 실행 파일을 보여줘 이용자가 바로 실행하도록 현혹하고 있다.

'HWP2018.exe' 파일이 공격자가 원격에서 감염된 컴퓨터를 제어할 수 있는 해킹 프로그램인 것이다.

만일 이용자가 정상파일로 오인해 'HWP2018.exe' 파일을 실행할 경우 악성파일은 C 드라이브 경로에 'office' 폴더를 생성하고 숨김 속성으로 'office.exe' 악성파일을 복사하고 실행한다.

▲ 악성파일이 실행되어 명령제어 서버와 통신하는 화면. 이스트시큐리티.
▲ 악성파일이 실행되어 명령제어 서버와 통신하는 화면. 이스트시큐리티.
감염이 정상적으로 진행되면 'Orcus RAT' 기반의 원격제어 기능의 악성파일은 한국의 특정 서버로 통신을 시도한다. 11월 달에 발견된 경우도 명령제어 서버(C&C) '211.110.35.168' 주소가 한국이었던 특징이 있다. 이번에는 ‘203.229.109.13:10136’이라는 한국 서버로 통신을 시도하고 있다.

공격자는 원격제어를 통해 감염된 컴퓨터의 일거수일투족을 실시간으로 볼 수 있으며, 특정 파일을 유출하거나 삭제할 수 있는 권한을 가질 수 있게 된다.

이스트시큐리티 관계자는 “토렌트 등에서 유포되는 불법 소프트웨어는 항상 최신 보안 위협에 노출되고 있다는 점을 명심하고 반드시 정품 소프트웨어를 사용하는 노력이 필요하다”며 “알약에서는 Trojan.Injector.1495040 탐지명 등으로 추가된 상태이며 또 다른 변종 출현에 대비에 보안 모니터링을 강화하고 있다”고 말했다.

★정보보안 대표 미디어 데일리시큐!★


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록