그만큼 인기있는 온라인 게임인만큼 해당 게임과 관련된 다양한 불법핵 프로그램이 인터넷 상에서 유포되는 과정에서 게임 계정 정보를 수집할 목적으로 제작된 악성 프로그램이 계속적으로 발견되고 있습니다.
이번에 살펴볼 사례는 서든핵 전용 인젝터라는 프로그램으로 네이버(Naver) 블로그 등을 통해 유포가 이루어지고 있습니다.
유포 방식은 블로그에 첨부 파일 방식으로 등록하여 dll.exe(MD5 : 1656529e2a43d1f1c97bf4838a4c882a) 파일을 다운로드하도록 구성되어 있으며, 해당 파일의 아이콘 모양은 플로피 디스켓 모양을 하고 있습니다.(※ 참고로 해당 파일에 대하여 국내외 보안 제품에서는 거의 진단이 이루어지지 않고 있습니다.)
해당 파일의 속성을 살펴보면 제품 이름으로 sudden이 등록되어 있으며, 원본 파일 이름으로는 const.dll로 등록되어 있습니다.
최초 해당 파일을 사용자가 실행하면 자동으로 특정 네이버(Naver) 계정 정보로 네이버 로그인이 이루어지는 것을 확인할 수 있습니다.
초기 좌측 화면에서는 서든어택 계정 정보(ID, 비밀번호)를 입력하여 로그인을 시도한 후 핵 관련 옵션이 활성화될 수 있도록 구성하고 있습니다.
사용자가 계정 정보를 입력하고 로그인을 시도하면 우측 화면에서와 같이 핵 관련 옵션이 활성화되지만 실제 핵 기능은 전혀 포함되어 있지 않습니다.
이런 과정에서 사용자가 입력한 서든어택 계정 정보는 유포자의 네이버 계정 이메일로 모두 전송이 이루어지는 것을 확인할 수 있습니다.
위와 같이 게임핵으로 위장한 다양한 형태의 계정 정보 수집용 악성 파일들이 계속적으로 유포가 되고 있으므로, 외부에서 제작한 프로그램에서 계정 정보를 입력하는 일이 없도록 주의하시기 바랍니다.