포스팅 내용

악성코드 분석 리포트

이력서 검색기로 위장한 악성코드, 토렌트를 통해 유포중!

최근 ‘이력서 검색기’ 이름으로 위장된 악성코드가 토렌트 사이트를 통해 유포되고 있어, 이용자들의 주의를 당부 드립니다.


[그림 1] 토렌트 사이트에서 유포되는 이력서 검색기


관련 글

가짜 보안 프로그램의 역습, 불법 소프트웨어 주의보 ▶ 자세히 보기


다운로드된 ‘이력서 검색기 v2017.exe’는 인터넷에 공개된 이력서 샘플을 아이콘으로 하고 있어, 마치 실제 이력서 관련 프로그램인 것처럼 보여주고 있습니다. 취업 등에 관심 많은 이용자가 현혹되어 파일을 실행할 경우 로컬 PC에 아무것도 실행이 되지 않은 것처럼 보이지만, 실제로는 이용자 PC의 정보를 탈취하는 악성코드가 실행됩니다.


[그림 2] 이력서 검색기로 위장한 악성코드


실행되는 악성코드는 한국 소재의 C&C인 ‘59.10.197.88’으로 은밀히 연결됩니다. 또한 공격자의 의도에 따라 키로깅이나 웹 브라우저 등의 프로그램에 저장된 패스워드 정보를 탈취하는 등의 다양한 악성 행위가 수행될 수 있습니다.


[그림 3] 정보 탈취 등의 악성 기능 목록


한편 토렌트를 통해 같이 다운로드되는 ‘Find.db’은 육안상으로 이력서 데이터베이스가 저장된 파일처럼 보여주고 있습니다. 하지만 실제로 리버스 엔지니어링 컴파일러 도구로 알려진 ‘RecStudio’의 압축 파일임을 확인할 수 있었습니다. 이는 애초에 ‘이력서 검색기’가 존재하지 않았음을 시사합니다.


[그림 4] DB 파일로 위장


많은 이용자들은 토렌트 사이트에서 필요한 게임, 애니메이션, 유틸리티 등을 다운받습니다. 하지만 토렌트에서 유통되고 있는 파일들은 검증되지 않은 것이 대부분입니다. 따라서 이번 ‘이력서 검색기’ 프로그램 사례와 같이 정상 파일로 위장한 악성코드가 유통될 수 있습니다.


특히 공격자들은 사회적 트렌드 혹은 이슈를 면밀히 파악하여 악성코드 유포에 이용하고 있어, 이 또한 주의가 필요합니다. 이용자들은 신뢰할 수 있는 공식 사이트에서 검증된 프로그램을 이용해주시기를 당부 드립니다.


현재 ‘알약’ 제품에서는 해당 악성코드를 ‘Spyware.Infostealer.86016’으로 진단 및 치료하고 있습니다.





저작자 표시
신고
티스토리 방명록 작성
name password homepage