[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] ÃÖ±Ù ½ºÆäÀÎ »ç¿ëÀÚ¸¦ ´ë»óÀ¸·Î Á¤º¸À¯ÃâÇü ¾Ç¼ºÄÚµåÀÎ ½ºÆ®·¼¶ó½ºÆ¿·¯(StrelaStealer)°¡ À¯Æ÷ ÁßÀÎ °ÍÀ» È®ÀÎÇß´Ù. ½ºÆ®·¼¶ó½ºÆ¿·¯ ¾Ç¼ºÄÚµå´Â Áö³ÇØ 11¿ù°æ óÀ½ ¹ß°ßµÆÀ¸¸ç, ½ºÆÔ ¸ÞÀÏÀÇ Ã·ºÎÆÄÀÏÀ» ÅëÇØ À¯Æ÷µÇ°í ÀÖ´Ù. ±âÁ¸ ÷ºÎÆÄÀÏ¿¡´Â ISO ÆÄÀÏÀÌ ÀÌ¿ëµÅ¿ÔÀ¸³ª, ÃÖ±Ù¿¡´Â ZIP ÆÄÀÏÀ» ÀÌ¿ëÇÏ°í ÀÖ´Ù.
[À̹ÌÁö=gettyimagesbank]
¾È·¦ ASEC ºÐ¼®ÆÀ¿¡ µû¸£¸é, ÃÖ±Ù À¯Æ÷ ÁßÀÎ ½ºÆ®·¼¶ó½ºÆ¿·¯ ¾Ç¼ºÄڵ尡 Æ÷ÇÔµÈ À̸ÞÀÏÀ» ¿¾î º¸¸é ½ºÆäÀξî·Î ÀÛ¼ºµÈ º»¹®°ú ¾ÐÃà ÆÄÀϸíÀ» È®ÀÎÇÒ ¼ö ÀÖ´Ù. º»¹®¿¡´Â ºñ¿ë ÁöºÒ ³»¿ë°ú ÇÔ²² ÷ºÎµÈ ¼ÛÀåÀ» È®ÀÎÇϵµ·Ï À¯µµÇÏ°í ÀÖ´Ù. ÷ºÎµÈ ÆÄÀÏÀº ZIP ÆÄÀÏ·Î ³»ºÎ¿¡ PIF ÆÄÀÏÀÌ Á¸ÀçÇÑ´Ù. PIF ÆÄÀÏÀº ½ÇÁ¦ ¾Ç¼º ÇàÀ§¸¦ ¼öÇàÇÏ´Â ½ºÆ®·¼¶ó½ºÆ¿·¯·Î À̸ÞÀÏ °èÁ¤ Á¤º¸¸¦ Å»ÃëÇÏ´Â ¾Ç¼ºÄÚµå´Ù.
¾Ç¼ºÄڵ尡 ½ÇÇàµÇ¸é, ¸ÕÀú ¡®ÄÄÇ»ÅÍ¸í¡¯°ú ¡®strela¡¯ ¹®ÀÚ¿À» XOR[6ÀÚ¸®] ÇÑ °ªÀ¸·Î ¹ÂÅؽº¸¦ »ý¼ºÇÑ´Ù. ÀÌÈÄ ¼±´õº¸µå ¹× ¾Æ¿ô·è Á¤º¸¸¦ ¼öÁýÇÏ°Ô µÇ´Âµ¥, À̶§ °ü·Ã Á¤º¸°¡ Á¸ÀçÇÏÁö ¾Ê´Â °æ¿ì ¸Þ½ÃÁö ¹Ú½º¸¦ »ý¼º ÈÄ Á¾·áÇÑ´Ù.
¡ã½ºÆ®·¼¶ó½ºÆ¿·¯ ¾Ç¼ºÄÚµå À¯Æ÷ ¸ÞÀÏ[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
¸Þ½ÃÁö ¹Ú½º´Â À̸ÞÀÏ°ú µ¿ÀÏÇÏ°Ô ½ºÆäÀξî·Î ÀÛ¼ºµÆÀ¸¸ç, ÆÄÀÏÀÌ ¼Õ»óµÅ ½ÇÇàÇÒ ¼ö ¾ø´Ù´Â ³»¿ëÀÌ Æ÷ÇԵŠÀÖ´Ù. ÇØ´ç ¸Þ½ÃÁö ¹Ú½º¸¦ ÅëÇØ »ç¿ëÀÚ´Â ¼Õ»óµÈ ÆÄÀÏ·Î »ý°¢ÇÒ ¼ö ÀÖ¾î ¾Ç¼ºÄڵ尡 ½ÇÇàµÈ °ÍÀ» ÀÎÁöÇϱ⠾î·Æ´Ù.
Å»ÃëÇÏ´Â Á¤º¸ Áß Ã¹ ¹ø°´Â ¼±´õ¹öµå °èÁ¤ Á¤º¸À̸ç, ¾Æ·¡ °æ·ÎÀÇ ÆÄÀÏÀ» ÀÐ¾î ¸í·ÉÁ¦¾î(C2) ¼¹ö·Î Àü¼ÛÇÑ´Ù. µÎ ¹ø° Å»Ãë Á¤º¸´Â ¾Æ¿ô·è °èÁ¤ Á¤º¸·Î, ¾Æ·¡ ·¹Áö½ºÆ®¸® °ªÀ» Àоî C2·Î Àü¼ÛÇÑ´Ù. Ãß°¡·Î, ¡®IMAP Password¡¯ °ªÀÇ °æ¿ì CryptUnprotectData API¸¦ ÅëÇØ µ¥ÀÌÅ͸¦ º¹È£È ÈÄ Àü¼ÛÇÑ´Ù.
¾È·¦ ASEC ºÐ¼®ÆÀÀº ¡°ÃÖ±Ù ½ºÆäÀÎ »ç¿ëÀÚµéÀ» ´ë»óÀ¸·Î À̸ÞÀÏ °èÁ¤ Á¤º¸¸¦ Å»ÃëÇÏ´Â ¾Ç¼ºÄÚµå À¯Æ÷°¡ È®Àεǰí ÀÖÀ¸¸ç Å»ÃëµÈ Á¤º¸¸¦ ÅëÇØ Ãß°¡ ÇÇÇØ°¡ ¹ß»ýÇÒ ¼ö ÀÖ¾î ÁÖÀÇ°¡ ÇÊ¿äÇÏ´Ù¡±°í ¸»Çß´Ù. ÀÌ¾î ¡°»ç¿ëÀÚ´Â Ãâó°¡ ºÒºÐ¸íÇÑ ¸ÞÀÏÀÇ ¿¶÷À» ÀÚÁ¦ÇÏ°í ÷ºÎµÈ ÆÄÀÏÀº ½ÇÇàÇÏÁö ¾Êµµ·Ï ÇØ¾ß ÇÑ´Ù¡±¸ç ¡°ÁÖ±âÀûÀ¸·Î PC °Ë»ç¸¦ ÁøÇàÇÏ°í º¸¾È Á¦Ç°À» ÃֽŠ¿£ÁøÀ¸·Î ¾÷µ¥ÀÌÆ®ÇÏ´Â °ÍÀÌ ÇÊ¿äÇÏ´Ù¡±°í °Á¶Çß´Ù.
[±è¿µ¸í ±âÀÚ(boan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>