전체상품목록 바로가기

본문 바로가기

 
신규가입 3,000P 지급
현재 위치
  2. 게시판
  3. 뉴스/이벤트

뉴스/이벤트

 

게시판 상세
제목 [AhnLab]불법 프로그램 사용자는 해커의 표적이 된다
작성자 (주)소프트정보서비스 (ip:)
  • 평점 0점  
  • 작성일 2021-03-25
  • 추천 추천하기
  • 조회수 392

ASEC은 개발 소프트웨어의 불법 설치파일로 사용자를 현혹해 BeamWinHTTP 악성코드와 PUP 파일을 동시에 유포하는 사례를 발견했다. 

공격자는 개발 소프트웨어의 크랙으로 위장한 파일을 유포하고, 사용자가 파일을 설치하면 정상 프로그램과 함께 계정정보를 탈취하는 악성코드와 PUP 파일이 설치된다.

 

  

 

ASEC 분석팀이 발간하는 주간 악성코드 통계를 보면, BeamWinHTTP 악성코드가 몇 주 사이 눈에 띄게 많이 발생하고 있다. 
지난 2월 중순에는 Top 3로 분류될 정도로 많이 유포됐으며, 해당 악성코드는 실행할 때마다 각기 다른 악성코드를 다운로드하는 것이 특징이다.

 

BeamWinHTTP 악성코드는 PUP 설치 프로그램에 의해 실행된다. PUP는 Potentially Unwanted Program의 약자로 사용자의 동의를 구하지만 사용자에게 불필요한 프로그램을 일컫는다. 
PUP 설치 프로그램은 다음과 같이 특정 패턴의 파일명으로 실행해야 정상적으로 설치된다. 

 

  

[그림 1] PUP 설치 프로그램

 

공격 방법

공격 방법을 살펴보면, 먼저 공격자는 불법 다운로드 사이트 등을 이용해 개발 소프트웨어의 크랙(Crack)으로 위장한 악성 파일을 유포했다. 
크랙은 무단복제/불법 다운로드 방지 등 기술이 적용된 상용 소프트웨어를 불법으로 사용하기 위해 보호방식을 제거하는 프로그램 및 행위를 말한다. 

 

사용자가 악성 파일을 다운로드 받아 실행하면 다음과 같은 프로그램 설치 창이 나타나며, 파일명을 파악해 다운로드 경로와 파일 정보를 보여준다.

 

  

[그림 2] PUP 설치 프로그램 화면 – 1

 

오른쪽 아래에 있는 고급 설정 버튼을 클릭하면, 아래와 같이 PUP 프로그램 ‘G-Cleaner’ 추가 설치에 대한 사용자 동의를 받는다. 
여기서 설치에 동의하면 BeamWinHTTP 악성코드가 실행된다.

 

 

[그림 3] PUP 설치 프로그램 화면 – 2

 

설치를 계속 진행할 경우 사용자가 원하는 프로그램을 다운로드하고, 다운로드가 완료되면 사용자 몰래 여러 PUP 프로그램이 설치된다. 
PUP 설치 프로그램은 아래 그림과 같이 Temp 경로에 악성코드를 다운로드 받아서 실행시키는데, 이 파일이 BeamWinHTTP 악성코드이다.

 

  

[그림 4] BeamWinHTTP 악성코드 다운로드 및 실행

 

BeamWinHTTP 악성코드는 가비지 클리너(Garbage Cleaner)라는 PUP 프로그램을 재차 설치한다. 
이 프로그램은 단순 임시파일들을 삭제해주면서 라이센스 구입을 지속적으로 유도한다.

 

  

[그림 5] Garbage Cleaner PUP 프로그램

 

그리고, 최종적으로 핵심 악성코드를 다운로드 받아 실행한다. 
다운로드 되는 악성코드는 때마다 다른데, 주로 사용자의 계정정보를 탈취하는 인포스틸러(Infostealer) 악성코드이다.

 

  

[그림 6] 추가적으로 다운로드 되는 악성코드

 

피해 예방하려면 기본 보안수칙 준수 필요

이와 같은 악성코드로 인한 피해를 예방하기 위해서는 
▲정품 SW 및 콘텐츠 다운로드 
▲의심되는 웹사이트 방문 자제 

▲OS 및 인터넷 브라우저, 응용프로그램, 오피스 SW 등 프로그램 최신 버전 유지 및 보안 패치 적용 
▲백신 프로그램 최신버전 유지 및 주기적 검사 등의 기본 보안수칙을 지켜야 한다.

 

안랩 분석팀 송태현 주임 연구원은 “공격자는 효과적으로 악성코드를 유포하고 사용자의 의심을 피하기 위해 정상 프로그램을 함께 설치하는 교묘한 방법을 사용한다”며 

“무료로 소프트웨어를 사용하려다 불필요한 파일 설치는 물론 악성코드에 감염될 수 있기에 필요한 프로그램은 공식 경로를 이용해 다운로드 받는 등 보안수칙을 반드시 준수해야 한다”고 말했다.

 

현재 V3는 해당 악성코드를 아래와 같이 진단하고 있다.

 

 

[파일 진단]

Downloader/Win32.BeamLoader.C4356144

Trojan/Win32.MalPe.R368818

 

[IOC 정보]

cdea4ba9137432aab58f5541e30595eb

90d01324d134695266115e71e43e35dc

10f74757da29c601937ea3ed94f6f807

hxxp://gcleaner.pro/

 

BeamWinHTTP 악성코드에 대한 자세한 사항은 ASEC 블로그를 통해 확인할 수 있다. 

▶ASEC 블로그 바로가기
첨부파일
비밀번호 수정 및 삭제하려면 비밀번호를 입력하세요.
스팸신고 스팸해제 목록 삭제 수정 답변
댓글 수정

비밀번호 :

수정 취소

/ byte

비밀번호 : 확인 취소

HOME  COMPANY  BOARD  AGREEMNET  PRIVACY  GUIDE

02-716-1915

FAX : 02-716-1917
MAIL : sales@softinfo.co.kr
MONDAY - FRIDAY AM 10 - PM 6
LUNCH 12:00 - 13:00
WEEKEND, HOLIDAY OFF

011-17-010436

농협 / (주)소프트정보서비스

015-01-0690-148

국민 / (주)소프트정보서비스

COMPANY : (주)소프트정보서비스        OWNER : 박양근       CALL : 02-716-1915        ADRESS : 04376 서울특별시 용산구 한강대로 109 (한강로2가) 용성비즈텔 802호       
BUSINESS NUMBER : 106-81-80499 [사업자정보확인]        SHOPPINGMALL ORDER LICENSE : 제2004-서울용산-03126호 [사업자정보확인]
E-MAIL : sales@softinfo.co.kr

Copyright(c) (주)소프트정보서비스 all rights reserved.        호스팅제공자 : (주)카페24

WORLD SHIPPING

PLEASE SELECT THE DESTINATION COUNTRY AND LANGUAGE :

GO
close