게이머 노린 공격, 게임 핵 프로그램에 악성코드 숨겨

 

 

Malware hidden in game cheats and mods used to target gamers

 

공격자들이 감염된 시스템의 정보를 훔치는 악성코드를 숨긴 게임 핵 프로그램을 통해 게이머들을 노리고 있는 것으로 나타났습니다.

 

공격자들은 주로 악성코드가 숨겨진 게임 해킹 툴을 광고하기 위해 소셜 미디어 채널 및 유튜브 영상을 활용했습니다.

 

이 캠페인을 발견한 Cisco Talos의 연구원들은 암호화된 악성코드 백도어가 포함된 “게임 패치, 해킹, 수정 툴로 보이는 작은 툴 몇 가지”를 발견했다고 밝혔습니다.

 

발견된 악성코드 변종 중 하나는 XtremeRAT(ExtRat)으로, 최소 2010년부터 타깃 공격 및 기존 사이버 범죄에 악용되어온 상용 원격 액세스 트로이목마(RAT)입니다.

 

XtremeRAT을 사용하면 운영자가 해킹된 시스템에서 문서를 추출하고, 키 입력을 기록하고, 스크린샷을 캡처하고, 웹캠 또는 마이크를 통해 오디오를 녹음하고, 원격 셸을 통해 피해자와 직접 상호작용이 가능합니다.

 

탐지를 회피하도록 설계돼

 

공격자는 분석 및 탐지를 방해하고 공격에 사용된 최종 페이로드를 숨기기 위해 복잡한 VisualBasic 기반 암호화 툴 및 셸 코드를 사용합니다.

 

악성 게임 툴을 실행한 게이머의 시스템에 배포된 악성코드 드롭퍼 또한 악성코드를 새롭게 생성된 프로세스에 주입하기 위해 프로세스 인젝션 기술을 사용합니다.

 

이를 통해 백신 소프트웨어로부터 최종 페이로드를 숨길 수 있기 때문에 탐지가 어려워집니다.

 

Cisco Talos는 아래와 같이 결론지었습니다.

 

“재택근무를 이어가고 있는 추세가 빠른 시일 내 끝날 것 같지 않은 상황에서, 개인 PC를 사용하여 회사 네트워크에 연결하는 경우가 증가하고 있습니다. 이는 기업 네트워크에 심각한 위협이 되고 있습니다. 직원들은 종종 신뢰할 수 없는 출처에서 게임 수정 툴이나 치트 엔진을 다운로드해 업무에 사용하는 PC에서 실행되는 게임을 해킹합니다.”

 

매력적인 타깃

 

게임 핵 프로그램을 통해 악성코드 감염이 자주 일어난다는 사실은 이미 알려져 있습니다. 공격자들은 이를 이용하여 게이머들을 원격 액세스 트로이목마, 크립토마이너, 기타 악성코드 변종에 감염시켰습니다.

 

지난 달에는 신원이 밝혀지지 않은 공격자가 윈도우 및 macOS용 안드로이드 에뮬레이터의 업데이트 메커니즘을 해킹해 게이머들을 감염시킨 사례도 있습니다. 

 

아시아 기업의 인기 있는 게임 및 게이밍 플랫폼 또한 공급망 공격을 통한 해킹을 당했으며, 공격자가 게이머의 시스템에 백도어를 배포할 수 있도록 했습니다.

 

당시 해킹된 게이밍 플랫폼 및 게임은 태국, 필리핀, 대만에서 매우 인기가 있었기 때문에 이 공급망 공격을 통해 수십만 게이머가 감염되었습니다.

 

현재 이스트시큐리티 알약에서는 해당 악성코드 샘플에 대해 ’Gen:Variant.Midie.72342’로 탐지 중입니다.

 

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/malware-hidden-in-game-cheats-and-mods-used-to-target-gamers/

https://blog.talosintelligence.com/2021/03/cheating-cheater-how-adversaries-are.html