상세 컨텐츠

본문 제목

스타크래프트 리마스터 이슈를 이용한 악성코드 유포 주의!

악성코드 분석 리포트

by 알약(Alyac) 2017. 4. 4. 12:43

본문

스타크래프트 리마스터 이슈를 이용한 악성코드 유포 주의!

최근 블리자드에서 출시된지 19년된 스타크래프트의 리마스터 버전을 출시하겠다고 발표하면서 국내 이용자들의 큰 관심을 받았습니다.

또한 기존에 유료로 판매하던 '브루드워 확장판' 버전을 리마스터 출시와 함께 무료로 플레이할 수 있다는 점도 큰 화제가 되고 있습니다. 하지만, 관련 이슈를 이용한 악성코드가 국내 이용자를 대상으로 유포되고 있어 주의를 당부 드립니다.


[그림 1] 스타크래프트 리마스터 베타버전 시작 화면


이번 공격은 국내 포털 사이트의 블로그 및 토렌트 사이트를 통해 '스타크래프트 1.16.1 립버전', 'StarCraft 추억이 새록새록 리마스터출시전 오리지날'이라는 이름으로 유포되는 점이 확인되었습니다.


[그림 2] 악성코드 유포 경로


블로그를 통해 유포된 악성코드의 경우 egg 압축 파일로 되어 있으며, 스타크래프트 1.16.1 립버젼 다운로더기로 위장하였고, '↓실행하면 다운' 폴더 이름을 통하여 '스타크래프트 1.16.1 립버젼.exe'를 실행하도록 유도합니다.


[그림 3] EGG로 압축된 파일


토렌트의 경우 가짜 스타크래프트 게임 파일은 압축 형태가 아닌 게임 파일 전체를 한 번에 내려받는 형식으로 전파되고 있습니다. 또한 파일명이 스타크래프트 정상 실행 파일인 StarCraft.exe가 아닌 스타.exe로 바뀌어져 있습니다.


[그림 4] 스타크래프트 실행 파일로 위장(정상 실행 파일(좌), 악성 실행 파일(우))


만약 이용자가 현혹되어 파일을 실행할 경우 공격자의 명령 제어 서버(C&C)에 연결하게 되고, 시스템 정보 수집과 함께 키로깅 등의 악의적인 기능이 실행될 수 있어서 주의가 필요합니다.


한편, 공격자들은 이용자들이 주로 관심을 가지는 대중, 사회 이슈를 이용해 은밀하고 지속적으로 악성코드를 유포하고 있습니다. 따라서 이용자들은 공식 홈페이지를 통해 유틸리티 및 게임을 다운로드 하는 등의 보안 수칙을 지켜주시기 바랍니다. 


통합 보안 백신 '알약'에서는 유포된 악성코드를 "Trojan.Agent.183808B"로 진단 및 치료하고 있습니다.








관련글 더보기

댓글 영역