불법 프로그램 사용자는 해커의 표적이 된다
ASEC은 개발 소프트웨어의 불법 설치파일로 사용자를 현혹해 BeamWinHTTP 악성코드와 PUP 파일을 동시에 유포하는 사례를 발견했다. 공격자는 개발 소프트웨어의 크랙으로 위장한 파일을 유포하고, 사용자가 파일을 설치하면 정상 프로그램과 함께 계정정보를 탈취하는 악성코드와 PUP 파일이 설치된다.
ASEC 분석팀이 발간하는 주간 악성코드 통계를 보면, BeamWinHTTP 악성코드가 몇 주 사이 눈에 띄게 많이 발생하고 있다. 지난 2월 중순에는 Top 3로 분류될 정도로 많이 유포됐으며, 해당 악성코드는 실행할 때마다 각기 다른 악성코드를 다운로드하는 것이 특징이다.
BeamWinHTTP 악성코드는 PUP 설치 프로그램에 의해 실행된다. PUP는 Potentially Unwanted Program의 약자로 사용자의 동의를 구하지만 사용자에게 불필요한 프로그램을 일컫는다. PUP 설치 프로그램은 다음과 같이 특정 패턴의 파일명으로 실행해야 정상적으로 설치된다.
공격 방법을 살펴보면, 먼저 공격자는 불법 다운로드 사이트 등을 이용해 개발 소프트웨어의 크랙(Crack)으로 위장한 악성 파일을 유포했다. 크랙은 무단복제/불법 다운로드 방지 등 기술이 적용된 상용 소프트웨어를 불법으로 사용하기 위해 보호방식을 제거하는 프로그램 및 행위를 말한다.
사용자가 악성 파일을 다운로드 받아 실행하면 다음과 같은 프로그램 설치 창이 나타나며, 파일명을 파악해 다운로드 경로와 파일 정보를 보여준다.
오른쪽 아래에 있는 고급 설정 버튼을 클릭하면, 아래와 같이 PUP 프로그램 ‘G-Cleaner’ 추가 설치에 대한 사용자 동의를 받는다. 여기서 설치에 동의하면 BeamWinHTTP 악성코드가 실행된다.
설치를 계속 진행할 경우 사용자가 원하는 프로그램을 다운로드하고, 다운로드가 완료되면 사용자 몰래 여러 PUP 프로그램이 설치된다. PUP 설치 프로그램은 아래 그림과 같이 Temp 경로에 악성코드를 다운로드 받아서 실행시키는데, 이 파일이 BeamWinHTTP 악성코드이다.
BeamWinHTTP 악성코드는 가비지 클리너(Garbage Cleaner)라는 PUP 프로그램을 재차 설치한다. 이 프로그램은 단순 임시파일들을 삭제해주면서 라이센스 구입을 지속적으로 유도한다.
그리고, 최종적으로 핵심 악성코드를 다운로드 받아 실행한다. 다운로드 되는 악성코드는 때마다 다른데, 주로 사용자의 계정정보를 탈취하는 인포스틸러(Infostealer) 악성코드이다.
이와 같은 악성코드로 인한 피해를 예방하기 위해서는 ▲정품 SW 및 콘텐츠 다운로드 ▲의심되는 웹사이트 방문 자제 ▲OS 및 인터넷 브라우저, 응용프로그램, 오피스 SW 등 프로그램 최신 버전 유지 및 보안 패치 적용 ▲백신 프로그램 최신버전 유지 및 주기적 검사 등의 기본 보안수칙을 지켜야 한다.
안랩 분석팀 송태현 주임 연구원은 “공격자는 효과적으로 악성코드를 유포하고 사용자의 의심을 피하기 위해 정상 프로그램을 함께 설치하는 교묘한 방법을 사용한다”며 “무료로 소프트웨어를 사용하려다 불필요한 파일 설치는 물론 악성코드에 감염될 수 있기에 필요한 프로그램은 공식 경로를 이용해 다운로드 받는 등 보안수칙을 반드시 준수해야 한다”고 말했다.
현재 V3는 해당 악성코드를 아래와 같이 진단하고 있다.
출처 : AhnLab