자경단 악성코드, 피해자의 불법 복제 소프트웨어 다운로드 차단해

국내외 보안동향

by 알약4 2021. 6. 18. 09:00

Vigilante malware blocks victims from downloading pirated software

한 개발자가 불법 복제 소프트웨어 사이트에 접근을 차단하는 악성코드를 배포해 사용자들이 해적판 소프트웨어를 사용하지 못하도록 막고 있는 것으로 나타났습니다.

일반적으로 공격자들은 불법 복제 소프트웨어 및 가짜 크랙 사이트를 통해 가짜 최신 게임이나 영화를 통해 악성코드를 배포합니다.

보통 이러한 방법으로 배포되는 악성코드는 인포스틸러, 랜섬웨어, 크립토마이너로 공격자가 이득을 취할 수 있는 구조입니다.

악성코드, The Pirate Bay 접근 차단

Sophos Labs는 새로운 보고서를 통해 인기있는 해적판 소프트웨어 사이트인 The Pirate Bay로의 접근을 차단하는 악성코드에 대한 세부 정보를 공개했습니다.

Sophos Labs의 수석 연구원인 Andrew Brandt는 아래와 같이 언급했습니다.

“이 악성코드는 비밀번호를 훔치거나 컴퓨터를 인질로 돈을 요구하는 대신, 감염된 시스템에서 호스트 파일을 수정해 수 많은 불법 복제 소프트웨어 사이트에 접근할 수 없도록 합니다.”

Brandt에 따르면, 이 새로운 악성코드는 디스코드 또는 불법 복제 소프트웨어 토렌트 사이트를 통해 배포되고 있습니다.

<디스코드에서 호스팅된 악성코드>

이 악성코드는 The Pirate Bay와 같은 사이트에서도 다른 토렌트 파일과 유사한 방식으로 배포되고 있습니다.

<악성 토렌트 파일 내 가짜 Readme 파일>

“인스톨러에 함께 포함된 파일을 좀 더 자세히 살펴본 결과, 아카이브가 일반적으로 Bittorrent를 공유되는 파일과 외형을 비슷하게 하고 랜덤 데이터를 추가해 해시 값을 수정하는 것 이외에는 별 다른 이점이 없습니다.”

사용자가 악성코드 파일을 실행하면, 이는 윈도우 호스트 파일을 수정해 The Pirate Bay와 관련된 사이트가 127.0.0.1을 가리키도록 하는 수 많은 항목을 추가합니다.

<악성코드가 수정한 호스트 파일>

호스트 항목이 추가되면, 사용자가 이 중 한 사이트에 접근하려 시도할 경우 로컬 호스트로 리디렉션 되어 사이트의 실제 IP 주소에 연결할 수 없게 됩니다. 이로써 저작권 보호 콘텐츠의 토렌트 파일을 배포하는 사이트에 대한 접근을 효과적으로 차단할 수 있습니다.

또한 이 악성코드가 실행되면 공격자가 제어하는 원격 호스트에 접속해 사용자를 감염시킨 가짜 불법 복제 소프트웨어의 이름을 전송합니다.

웹 서버는 보통 방문자의 IP 주소를 기록하기 때문에, 공격자는 사용자가 접근한 해적판 소프트웨어 사이트의 IP 주소와 다운로드를 시도했던 소프트웨어 또는 영화 이름을 받아올 수 있게 됩니다.

또한 이메일을 통한 협박 공격에 이 정보를 사용할 가능성도 있습니다. 공격자는 자신의 요구를 들어주지 않을 경우 사용자의 불법 행위를 공개하겠다고 협박할 수 있습니다.

Brandt는 이 악성코드 캠페인이 2020년 10월부터 2021년 1월 사이에 활동했다고 밝혔습니다.

이 악성 토렌트는 사용자가 해당 파일이 악성/가짜인 것을 발견한 후 시딩을 중단해 배포가 중단된 것으로 나타났습니다.

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플을 ’Trojan.GenericKD.35261643’로 탐지 중입니다.

출처:

PJobRAT, 군대 관련 인도인을 표적으로하는 스파이웨어 (0)	2021.06.18
CVS Health의 기록 10억 건 이상, 온라인에 유출돼 (0)	2021.06.18
치명적인 ThroughTek 취약점, 수백 만 인터넷 연결 카메라 도청 위험에 노출시켜 (0)	2021.06.17
우크라이나 경찰, Clop 랜섬웨어 관련 사이버 범죄자 체포해 (0)	2021.06.17
팔로우하지 않은 사용자의 비공개, 아카이브 게시물/스토리를 확인할 수 있는 인스타그램 취약점 수정 (0)	2021.06.16

고정 헤더 영역