최근 특정 웹 사이트에 접속할 경우 가짜 Internet Explorer 웹 페이지 오류 메시지를 생성하여 다운로드되는 파일을 실행할 경우 국내 특정 고포류 게임을 표적으로 악성코드에 감염되는 사례가 공개되어 간단하게 살펴보도록 하겠습니다.

 

 

알약(ALYac) 블로그에서 공개한 정보에 의하면 북한(North Korea)말을 사용하는 공격자가 2016년 하반기경부터 국내를 표적으로 지속적인 악성코드 유포가 이루어지고 있음을 간접적으로 언급하고 있습니다.

 

 

어떤 방식으로 문제의 웹 사이트로 접속을 유도하는지 알 수 없지만 접속할 경우 "Internet Explorer에서 웹 페이지를 표시할 수 없습니다."라는 전형적인 오류 메시지를 통해 자동으로 악성 파일이 다운로드 시도됩니다.

 

 

해당 웹 페이지 소스를 확인해보면 Internet Explorer 오류 메시지는 사진 파일(n.jpg)로 추가하였으며, "네트워크 연결이 불안정합니다. 연결 상태 실행 확인 후 다시 시도해 주세요." 메시지를 통해 자동 다운로드되는 악성 파일을 실행하도록 유도하고 있습니다.

 

  • dateup.exe (SHA-1 : a170212dbfe7bbc00a881874386be4ee7e9f6982 - AhnLab V3 : Trojan/Win32.Downloader.C1867782)

 

다운로드된 dateup.exe 악성 파일을 사용자가 실행할 경우 동일 웹 서버로부터 3종의 파일을 다운로드되어 다음과 같이 생성될 수 있습니다.

 

생성 파일 및 진단 정보

 

C:\Program Files\Internet Explorer\ProEye.exe

 - SHA-1 : 83340677c8156d0c8d33f52c46f29ef74467f420

 - 알약(ALYac) : Spyware.Infostealer.Impact

 

C:\Program Files\Internet Explorer\zlib1.dll :: zlib data compression library (정상 파일)

 

C:\Program Files\IMPACTGAME\iphlpapi.dll :: x86 운영 체제 기준 (IP Helper API 정상 파일)

 

C:\Program Files (x86)\IMPACTGAME\iphlpapi.dll :: x64 운영 체제 기준 (IP Helper API 정상 파일)

 

 

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - ProEye.exe = C:\Program Files\Internet Explorer\ProEye.exe

Internet Explorer 웹 브라우저 폴더에 생성된 ProEye.exe 악성 파일은 Windows 부팅 시 시작 프로그램 등록값으로 추가되어 자동 실행되도록 구성되어 있으며, 특히 해당 악성코드는 국내에서 운영되고 있는 임팩트 게임(Impact Game)을 표적으로 하고 있음을 알 수 있습니다.

 

 

실제 ProEye.exe 악성 파일 코드를 확인해보면 "C:\Program Files\IMPACTGAME\POKER" 또는 "C:\Program Files (x86)\IMPACTGAME\POKER" 폴더 정보를 통해 고포류 게임에 대한 정보 엿보기를 통해 금전적 수익을 얻기 위해 제작된 것을 알 수 있습니다.

 

 

해당 악성코드의 통신 서버는 한국(Korea)에 위치한 "222.231.33.213" IP 주소를 가지고 있으며, 사용자가 바둑이, 포커, 맞고와 같은 고포류 게임을 실행하여 게임을 할 경우 게임에 참여하여 수익 활동을 전개할 것으로 보입니다.

 

추가적인 조사를 통해 해당 공격자가 현재까지 유포한 관련 악성 파일 정보는 다음과 같습니다.

 

  • anchul.exe (SHA-1 : fac68372eb406b972b767fb96abd5287ef02aa90 - avast! : Win32:Malware-gen)
  • anchulsu.exe (SHA-1 : 1ed7d4b9ec816bd87788d727d428314607305626 - 알약(ALYac) : Spyware.Infostealer.Impact)
  • d.exe (SHA-1 : f1954d37dc382ecb060c8a479d701c9f514b0e68 - 알약(ALYac) : Trojan.Downloader.172113)
  • Eyeup.exe (SHA-1 : 43cb19469bc77186e5492912fbed4c175e97663d)
  • msup.exe (SHA-1 : 221299688420c0413ba5ad4257979839c885b6af - AVG : Win32/DH{gVJnVw?})

 

예전부터 고포류 게임만을 표적으로 한 악성코드 감염을 통해 금전적 수익을 노리는 국내 사이버 범죄자와 북한(North Korea)의 외화벌이가 지속적으로 발생하고 있으므로 온라인 게임을 즐기는 사용자는 각별히 주의하시기 바랍니다.

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..