Home > 전체기사

특정 도박 사이트에 접속하면 악성 파일이 자동 다운로드 된다

  |  입력 : 2021-11-07 23:35
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
다운로드 된 악성 파일, 사용자의 게임 파악 및 상태 로그 수집 목적으로 추정
ESRC “추가적으로 파일 설치한 후, 악성 행위 시도할 가능성 높아 주의 필요”


[보안뉴스 권 준 기자] 최근 접속 시 자동으로 파일이 다운로드 되는 도박사이트가 발견되어 사용자들의 주의가 요구된다. 보안업체 이스트시큐리티 ESRC(시큐리티대응센터)에 따르면 파일이 자동으로 다운로드 되는 홈페이지들은 사행성 도박게임을 할 수 있는 홈페이지로, 다수의 홈페이지에서 동일한 파일이 내려오는 것이 확인됐다.

▲자동으로 파일을 내려주는 도박 페이지[이미지=이스트시큐리티 ESRC]


해당 파일은 iframe으로 페이지 내 삽입되어 있으며, 자동으로 내려온 vcredist_2010.exe 파일을 실행하면 추가로 RuntimeBroker.exe 파일을 C:\Windows\SysWOW64폴더 하위에 저장하고 자동으로 실행하는 것으로 분석됐다.

자동으로 실행된 RuntimeBroker.exe 파일은 컴퓨터명, IP, MAC 주소, 현재 상태 등을 포함해 서버에 주기적으로 전송하며, 추가로 파일 다운로드를 시도하는 것으로 드러났다. 그러나 공격자의 서버 문제로 해당 파일에 대해 확인은 불가능했다면서도 현재 사용자가 진행하는 게임 파악 및 사용자 상태 로그 수집 목적으로 추정된다는 게 ESRC 측의 설명이다.

▲추가로 다운로드 된 파일이미지=이스트시큐리티 ESRC]


ESRC 측은 “공격자가 해당 파일을 이용하여 사용자 PC에 추가적으로 파일을 설치한 후, 향후 악성 행위를 할 가능성이 있어 사용자들의 주의가 필요하다”며, “현재 알약에서는 해당 파일들에 대해 Trojan.Dropper.MSIL, Spyware.Infostealer.RedLine로 탐지 중에 있다”고 밝혔다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화