2023.06.23 안랩, 문서작업 프로그램 불법 설치파일을 위장해 유포 중인 악성코드 주의 당부

안랩, 문서작업 프로그램 불법 설치파일을 위장해 유포 중인 악성코드 주의 당부

- 파일공유 사이트 등으로 ‘한글 2022 크랙’ 파일로 위장한 악성 압축파일 유포, 압축파일 내 실행파일을 열면 악성코드 다운로드

- 사용자 PC에 V3가 설치되어 있으면 암호화폐 채굴 악성코드/V3가 없으면 원격제어 악성코드 설치 시도, V3는 모두 진단 중

- ▲불법 콘텐츠 다운로드 금지 ▲인터넷에서 파일 다운로드 시 공식 홈페이지 이용 ▲OS 및 인터넷 브라우저, 응용프로그램, 오피스 SW 등 프로그램의 최신 버전 유지 및 보안 패치 적용 ▲최신 버전 백신 사용 및 실시간 감시 적용 등 기본 보안 수칙 준수 필요

 

안랩(대표 강석균, www.ahnlab.com )이 최근 ‘한글 2022 크랙(*)’ 설치파일로 위장한 파일을 파일 공유 사이트에 올려 암호화폐 채굴 및 원격제어 악성코드 등을 유포하는 사례를 발견해 사용자의 주의를 당부했다.

*크랙(Crack): 무단복제/불법 다운로드 방지 등 기술이 적용된 상용 소프트웨어를 불법으로 사용하기 위해 보호방식을 제거하는 프로그램 및 행위

 

공격자는 먼저 웹하드, 토렌트 등 국내 다수 파일공유 사이트에 ‘한글2022 (★일반 사용자용 영구 정품 인증)’이라는 제목으로 악성 압축 파일을 업로드했다(보충자료1 참조).

 

사용자가 다운로드한 파일의 압축을 해제한 후 ‘install.exe’을 실행하면 ‘한글2022’ 크랙 설치파일과 함께 악성코드를 외부에서 다운로드 받도록 하는 명령이 사용자 몰래 실행된다. 이때, 사용자의 PC에 V3 설치여부에 따라 다른 종류의 악성코드가 설치 시도된다.

 

만약 사용자 PC에 V3가 없다면 원격제어 악성코드인 ‘Orcus RAT’가 다운로드 된다. 'Orcus RAT’에 감염될 경우, 공격자가 사용자PC를 원격으로 제어할 수 있는 권한을 획득할 수 있다. 공격자는 이 권한을 활용해 추가 명령을 내려 정보 탈취 등 다양한 악성행위를 수행할 수 있다. V3가 설치되어 있을 경우에는 암호화폐 채굴 악성코드 ‘XMRig’설치를 시도한다.

 

현재 V3는 해당 악성코드 2종을 모두 진단하고 있다.

 

사용자는 피해를 예방하기 위해 ▲불법 콘텐츠 다운로드 금지 ▲인터넷에서 파일 다운로드 시 공식 홈페이지 이용 ▲OS 및 인터넷 브라우저, 응용프로그램, 오피스 SW 등 프로그램의 최신 버전 유지 및 보안 패치 적용 ▲최신 버전 백신 사용 및 실시간 감시 적용 등 기본 보안 수칙을 준수해야한다.

 

이재진 안랩 분석팀 주임연구원은 “이번 사례는 한글 프로그램 정품 및 제공사와 무관하게 공격자가 유명 소프트웨어 불법 설치파일을 위장해 공격에 이용한 것”이라며, “불법 경로로 소프트웨어나 게임 등의 콘텐츠를 이용하는 경우 위협에 노출될 가능성이 큰 만큼 사용자는 반드시 정식 콘텐츠를 이용해야 한다”고 말했다.

 

한편, 안랩은 차세대 위협 인텔리전스 플랫폼 ‘안랩 TIP(보충자료2 참조)’에서 해당 사례에 사용된 악성코드에 대한 상세 정보를 제공하고 있다.

 

 

[보충자료1] 파일 공유 사이트에 업로드 된 ‘한글2022 크랙’ 설치파일로 위장한 악성 파일

 

[보충자료2] 안랩 TIP

‘안랩 TIP’는 안랩이 축적한 보안위협 대응 기술력과 노하우를 집약한 차세대 위협 인텔리전스 플랫폼이다. △악성코드 및 취약점, 포렌식 보고서 △최신 보안뉴스, 보안권고문 △보안 콘텐츠 관련 위협침해지표(IoC, Indicators of Compromise) 기반의 위협 유형, 악성 파일정보, IP, URL △DDW(Deep&Dark Web) 모니터링 기능 등 포괄적인 위협 인텔리전스 서비스를 제공한다. 이외에도 사용자가 업로드한 의심 파일/URL에 대해 다차원 행위 분석으로 결과를 제공하는 ‘클라우드 샌드박스 분석’ 기능과 API 제공 기능으로 안랩 제품 외에도 다양한 보안 관리 솔루션과 쉽게 연동이 가능한 점이 특징이다.