check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

'저작권 위반 그림 사용 확인 메일'로 위장 가상화폐 채굴 악성코드

지난해 비너스락커 랜섬웨어 유포자, 최근 가상화폐 채굴용 악성코드 유포중

길민권 기자 mkgil@dailysecu.com 2018년 01월 21일 일요일

hacker-symbol-2714262_640.jpg
작년부터 비너스락커(Venus Locker) 랜섬웨어를 유포한 공격자가 최근에는 “저작권법 위반되는 그림을 이용 중이십니다.(제작자 무동의)”라는 제목으로 이메일을 유포하고 있어 각별한 주의가 요구된다.

이 공격자들은 기존에도 ‘교육 일정표’ 확인, 쇼핑몰에서 유출된 ‘고객 개인 정보 리스트’, ‘해외 배송 관련 안내’, ‘eFINE 교통범칙금 인터넷 납부’ 등 사용자들이 현혹할 만한 제목으로 위장했고, 이번에는 ‘저작권법 위반’으로 모네로(Monero) 가상 화폐 채굴 기능을 포함해 유포 중이다.

메일은 법적 조치는 하지 않을 테니 저작권에 접촉되는 그림을 확인해 달라는 내용으로 사용자로 하여금 확인을 하도록 유도하는 내용을 담고 있다.

▲ 저작권법 위반 그림 사용 알림 메일 내용.
▲ 저작권법 위반 그림 사용 알림 메일 내용.

메일에 첨부된 파일 '이미지도용.egg'에는 바로가기 파일 3개와 실행파일 1개가 있다. 만일 저작권에 위배된 이미지를 확인하고자 실행 파일 대신 바로가기 파일을 실행할 경우 'laptop.exe' 실행 파일이 실행된다.

바로가기 파일에 의해 실행되는 'laptop.exe' 악성코드는 닷넷(.NET)로 제작되어 있으며, 자기 자신을 프로세스로 생성한 뒤, 인젝션하여 실행한다.

인젝션된 프로세스는 시스템 재부팅시 자동 실행을 위해 자가 복제 및 자동 실행 등록한다.

◇자가 복제 경로
C:\Users\(사용자 계정)\AppData\Local\PbAtltgPMQ\csrss.exe

◇자동 실행 경로
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
GuiFGiJTly = "C:\Users\(사용자 계정)\AppData\Local\PBATLT~1\csrss.exe"

이후 운영체제 환경에 따라 32비트에서는 wuapp.exe / svchost.exe, 64비트에서는 notepad.exe / explorer.exe에 XMRig 2.4.2 버전의 모네로 채굴기를 인젝션하여 실행한다. 인젝션 간 채굴기 동작에 필요한 인자를 전달하는데 그 내용은 다음과 같다.

"C:\Windows\System32\wuapp.exe" -o xmr.pool.minergate.com:45560 -u sd002@protonmail.com -p x -v 0 -t 1"

이스트시큐리티 시큐리티대응센터(ESRC)은 “최근 가상 화폐 시세의 급등락과 함께 비트코인 채굴을 하는 악성코드들이 많이 확인되고 있다. 이용자들은 출처를 확인할 수 없는 메일에 있는 첨부파일 혹은 링크에 대해 각별히 주의해야 한다”고 당부했다.

★정보보안 대표 미디어 데일리시큐!★

<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록