접속 시 자동으로 파일이 다운로드 되는 도박 사이트 주의!

 

 

안녕하세요. ESRC(시큐리티 대응센터)입니다.

접속 시 자동으로 파일이 다운로드 되는 도박사이트가 발견되어 사용자들의 주의가 필요합니다. 

해당 홈페이지들은 사행성 도박게임을 할 수 있는 홈페이지로, 다수의 홈페이지에서 동일한 파일이 내려오는 것이 확인되었습니다. 

 

 

[그림 1] 자동으로 파일을 내려주는 도박 페이지

 

 

해당 파일은 iframe으로 페이지 내 삽입되어 있으며, 자동으로 내려온 vcredist_2010.exe 파일을 실행하면 추가로  RuntimeBroker.exe 파일을 C:\Windows\SysWOW64폴더 하위에 저장하고 자동으로 실행합니다.

 

 

[그림 2] 추가로 다운로드 된 파일

 

 

자동으로 실행 된 RuntimeBroker.exe 파일은 컴퓨터 명, IP, MAC주소, 현재 상태 등을 포함하여 서버에 주기적으로 전송합니다. 또한 추가로 파일 다운로드를 시도하나 공격자의 서버 문제로 해당 파일에 대해 확인은 불가하였습니다. 

 

해당 파일은 현재 사용자가 진행하는 게임 파악 및 사용자 상태 로그 수집 목적으로 확인됩니다. 

 

하지만, 공격자가 해당 파일을 이용하여 사용자 PC에 추가적으로 파일을 설치 할 수 있어 향후 악성행위를 할 가능성이 있어 사용자들의 주의가 필요합니다. 

 

현재 알약에서는 해당 파일들에 대해 Trojan.Dropper.MSIL, Spyware.Infostealer.RedLine로 탐지중에 있습니다.