Home > 전체기사

웹하드에서 ‘오피스+정품 인증 툴’ 받다간 악성코드 감염된다!

  |  입력 : 2022-03-23 17:34
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
오피스 설치 프로그램으로 위장해 유포 중인 BitRAT 악성코드

[보안뉴스 원병철 기자] 최근 ‘윈도우 정품인증 툴’로 위장한 BitRAT 악성코드가 이번에는 ‘오피스 정품인증 툴’로 위장해 유포되고 있어 사용자들의 주의가 요구된다. 안랩 ASEC 분석팀은 BitRAT 악성코드가 유포 파일을 변경해 오피스 설치 프로그램을 통해 피해자들을 유인하고 있다고 밝혔다.

▲윈도우 정품 인증 툴을 위장한 게시글[자료=ASEC]


웹하드에서 업로드된 악성코드가 포함된 게시글은 ‘[최신][저렴]오피스 2021 설치 + 영구 정품 인증’이라는 제목으로 되어 있다. 다운로드된 파일은 ‘Program.zip’이라는 압축 파일이며, 게시글의 설명대로 비밀번호 ‘1234’로 암호 압축되어 있다. 압축 파일 내부에는 ‘OInstall.exe’라고 하는 오피스 설치 프로그램이 포함되어 있다.

▲압축 파일 내부에 포함된 파일들[자료=ASEC]


피해자에게 노출되는 화면은 오피스 다운로드 프로그램이지만, 실제 다운로더 악성코드는 윈도우 시작 프로그램 폴더에 악성코드를 설치한다. 일반적으로 처음 설치되는 것은 동일한 유형의 다운로더 악성코드이며, 이렇게 실행된 다운로더는 최종적으로 BitRAT 악성코드를 %TEMP% 경로에 ‘Software_Reporter_Tool.exe’라는 이름으로 설치한다.

▲피해자에게 노출되는 오피스 다운로드 프로그램[자료=ASEC]


▲피해자 모르게 다운로드 되는 실제 악성코드(BitRAT 다운로더)[자료=ASEC]


다음은 BitRAT 악성코드의 기능이다.

1. 네트워크 통신 방식
– TLS 1.2를 이용한 암호화된 통신
– Tor를 이용한 통신

2. 기본 제어
– 프로세스 관리자
– 서비스 관리자
– 파일 관리자
– 윈도우 관리자
– 소프트웨어 관리자

3. 정보 탈취
– 키로깅
– 클립보드 로깅
– 웹캠 로깅
– 오디오 로깅
– 웹 브라우저과 같은 애플리케이션 계정 정보 탈취

4. 원격 제어
– 원격 데스크탑
– hVNC (Hidden Desktop)

5. 프록시
– SOCKS5 Proxy : UPnP를 이용한 포트 포워딩 기능 제공
– Reverse Proxy : SOCKS4 Proxy

6. 코인 마이닝
– XMRig 코인 마이너

7. 기타
– DDoS 공격
– UAC Bypass
– 윈도우 디펜더 비활성화

ASEC는 국내 웹하드 등 자료 공유 사이트를 통해 악성코드가 활발하게 유포되고 있어 사용자의 주의가 필요하다고 지적하고, 자료 공유 사이트에서 다운받은 실행파일은 각별히 주의해야 하며, 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)