공격자는 마치 최신 HWP2018 의 무설치 인증판 파일처럼 위장해 ‘Orcus RAT’ 원격 해킹 기능 악성파일을 토렌트 사이트에서 유포하고 있는 것으로 확인됐다.
지난 번에는 실제로 판매하지 않는 '한글 2017' 제품으로 위장했지만, 이번엔 '한글 2018' 최신 제품으로 위장한 특징이 있다.
현재 해당 파일은 토렌트 인기자료 2순위에 등록되어 있을 정도로 많은 이용자들이 다운로드하고 있는 상태이며, 정상적인 프로그램처럼 위장하기 위해 나름 1.3G 정도의 대용량 파일크기로 만들어져 있다.
이용자가 'HWP2018 무설치 인증판.torrent' 파일을 이용해 프로그램을 다운로드하면 실제로 약 1.33G 크기의 폴더가 생성된다.
폴더 내부에는 다양한 파일과 하위 폴더가 포함되어 있으며 가장 상위 경로에 'HWP2018.exe' 실행 파일을 보여줘 이용자가 바로 실행하도록 현혹하고 있다.
'HWP2018.exe' 파일이 공격자가 원격에서 감염된 컴퓨터를 제어할 수 있는 해킹 프로그램인 것이다.
만일 이용자가 정상파일로 오인해 'HWP2018.exe' 파일을 실행할 경우 악성파일은 C 드라이브 경로에 'office' 폴더를 생성하고 숨김 속성으로 'office.exe' 악성파일을 복사하고 실행한다.
공격자는 원격제어를 통해 감염된 컴퓨터의 일거수일투족을 실시간으로 볼 수 있으며, 특정 파일을 유출하거나 삭제할 수 있는 권한을 가질 수 있게 된다.
이스트시큐리티 관계자는 “토렌트 등에서 유포되는 불법 소프트웨어는 항상 최신 보안 위협에 노출되고 있다는 점을 명심하고 반드시 정품 소프트웨어를 사용하는 노력이 필요하다”며 “알약에서는 Trojan.Injector.1495040 탐지명 등으로 추가된 상태이며 또 다른 변종 출현에 대비에 보안 모니터링을 강화하고 있다”고 말했다.
★정보보안 대표 미디어 데일리시큐!★