Tencent Games에서 퍼블리싱 중인 게임의 사용자 정보를 탈취하는 악성코드가 국내 서버를 사용해 배포되고 있는 정황이 포착됐다.
 
이에 대한 상세 리포트를 발표한 NSHC(대표 허영일) Red Alert팀은 “‘League of Legend’, ‘Crossfire’, ‘DJ2’등의 게임이 공격대상이며, 악성코드는 Dll 인젝션과 후킹을 통해 공격이 이루어진다”며 “또한 WFP를 무력화시켜 윈도우 시스템 Dll을 변조하는 바이러스 형태로 동작해 시스템을 감염시킨다. 감염이 의심되는 시스템에서는 대응방안에 따른 조치와 백신을 통한 치료가 필요하다”고 전했다.
 
보고서에 따르면, 악성코드에 감염되면 숨김 속성을 가진 파일들이 생성된다. 이후 악성코드는 감염 시스템의 맥 어드레스, OS버전 등의 정보를 중국에 위치한 서버로 전송한다.

 
시스템 Dll의 변조를 위해 WFP(윈도우 파일 프로텍션) 무력화를 시도한다. 변조된 시스템 Dll은 시스템에 상주하게 되며 시스템 재 시작 이후에는 관련 Dll은 시스템에 상주하게 되며 시스템 지 시작 이후에는 관련 Dll을 사용하는 모든 프로세스에서 동작하게 된다. 변조된 시스템 Dll은 실행 프로세스 이름과 로딩 모듈 이름을 비교해 조건이 맞을 경우 후킹 모듈을 로딩한다. 이후 게임 런처에 의해 게임이 실행된는 프로세스 이름을 구분해 공격 대상 프로세스를 구분하고 공격 대상 프로세스가 선정되면 후킹 함수를 설치해 사용자 정보 탈취를 시도한다.
 
Red Alert팀 관계자는 “악성코드는 Tencent Games에서 퍼블리싱 중인 명 종의 게임에 대해 타깃 공격이 이루어지고 있다. 공격 대상의 게임들은 국내에서도 높은 점유율을 가지고 있기 때문에 국내를 대상으로 변종 악성코드가 제작될 가능성이 있다”며 “시스템 폴더에 대한 감시는 대부분의 백신에 포함된 기능이므로 주기적인 시스템 정밀 검사와 실시간 감시를 활성화 시켜야 한다”고 주의를 당부했다.
 
보다 상세한 리포트 내용은 Red Alert팀 페이스북과 데일리시큐 자료실을 통해 다운로드 가능하다.
-Red Alert팀 페이스북: www.facebook.com/nshc.redalert?ref=profile
 
데일리시큐 길민권 기자 mkgil@dailysecu.com