울지않는벌새 : Security, Movie & Society

CT종합핵을 이용한 넥슨 메이플스토리 계정 수집 주의 (2011.5.27)

벌새::Analysis
국내 블로그를 통해 CT종합핵으로 위장하여 넥슨(Nexon)에서 서비스하는 온라인 게임 메이플스토리(MapleStory) 계정을 수집하는 악성 파일을 확인하였습니다.

해당 파일은 5월 16일경에 제작된 것으로 추정되며, zip 압축 파일 내부에 3개의 파일로 구성되어 있습니다.

압축 파일 내부의 CT종합핵.exe(MD5 : 6ab3f33fa1bf9f5d2181fce28a516c8e) 파일은 메이플스토리 아이콘으로 구성되어 있으며, Avira AntiVir 보안 제품에서 TR/Crypt.CFI.Gen (VirusTotal : 1/42) 진단명으로 진단되는 것을 확인할 수 있습니다.

참고로 해당 실행 파일이 실행되기 위해서는 vb6ko.dll 파일이 반드시 설치되어 있어야 합니다.

실행된 파일은 검색하기 버튼을 클릭할 경우 CRC 체크를 하도록 안내를 하고 있으며, 사용자가 CRC 체크를 시도할 경우 다음과 같이 메이플스토리에서 제공하는 로그인 창으로 위장한 동작이 이루어집니다.

 

해당 로그인 창에서는 계정 기억, 키보드 보안, 방화벽 기능을 사용할 수 있도록 구성하여 사용자가 체크를 할 수 있지만, 실제적으로 보안 기능이 존재하지 않은 것으로 확인이 됩니다.


하단의 회원 가입, ID/PW 찾기, U-OTP 항목을 클릭할 경우 실제 메이플스토리 홈페이지로 연결하는 동작이 이루어집니다.

상당히 진짜처럼 위장하기 위해 UI를 구성하였다는 점에서 사용자들이 속기 쉬울 것으로 판단됩니다.

사용자가 로그인 창에 계정 아이디(ID)와 비밀번호(Password)를 입력하고 로그인을 시도하면, 2차 비밀번호 입력을 위해 Soft Keyboard 창을 생성하여 2차 비밀번호를 입력하도록 구성되어 있습니다.

POST /nidlogin.login HTTP/1.1
Referer:
https://nid.naver.com/nidlogin.login
Content-Type: application/x-www-form-urlencoded
Content-Length: 42
Accept: */*
User-Agent: Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)
Host: nid.naver.com
Connection: Keep-Alive


모든 계정 정보가 입력된 후 확인 버튼을 클릭하면 해당 프로그램은 자동으로 종료되고, 사용자 몰래 네이버(Naver) 웹 로그인이 이루어지는 동작을 확인할 수 있습니다.

이 과정에서 어제 살펴본 서든월핵을 이용한 계정 수집과 마찬가지로 메이플스토리 계정을 수집하는 유포자의 네이버 계정(ID/PW)이 평문으로 노출되는 부분도 확인할 수 있습니다.

전송된 정보를 확인해보면 유포자 이메일 제목에는 메이플스토리 비밀번호, 이메일 본문에는 2차 비밀번호, 수신자에는 메이플스토리 아이디(ID)가 기록되는 것을 확인할 수 있습니다.

이처럼 유사한 방법으로 다양한 유포자가 핵 프로그램으로 위장한 온라인 게임 계정 정보를 수집한다는 점은 이런 방식이 암암리에 공유되는 것이 아닌가 생각됩니다.

그러므로 온라인 게임을 즐기시는 분들은 핵과 같은 불법 프로그램을 사용하는 과정에서 계정 정보가 외부로 유출되어 금전적 피해를 입을 수 있으므로 주의하시기 바랍니다.