본문 바로가기

벌새::Analysis

메이플스토리 게임핵을 이용한 계정 수집 주의 (2011.6.9)

최근 국내 온라인 게임핵으로 위장하여 게임 계정 정보를 수집하는 악성 파일에 대해 몇 차례 소개를 해 드렸습니다.

이들 악성 프로그램은 국내외 보안 제품에서 진단이 대부분 이루어지지 않는 문제로 인하여 혹시나 하는 마음에 사용할 수 있으며, 계속적인 UI 변경과 수집자 계정의 변화가 이루어지고 있는게 현실입니다.
 

이번에 살펴볼 사례는 기존의 넥슨(Nexon) 온라인 게임 메이플스토리(MapleStory) 계정을 수집하고 있으며, 유포자는 (주)나우콤에서 서비스하는 세컨드라이브(2ndDrive) 아이콘으로 제작된 방식을 이용하고 있으며 동일인이 아닌가 추정됩니다.

 

특히 세컨드라이브 아이콘 모양의 다양한 온라인 게임핵으로 위장한 악성 파일은 계속적인 변종이 발견되고 있으므로 매우 주의하시기 바랍니다.

 

 

유포 방식은 네이버(Naver) 블로그에 압축 파일 형태의 첨부 파일로 등록하여 보안 제품을 통해 검사를 하라고 언급할 정도로 당당한 모습을 보이고 있습니다.

 

 

압축 파일 내부에는 세컨드라이브 모양의 아이콘으로 구성된 mapleHack.exe(MD5 : 0011DFAD047D8839A4B052151F179712) 파일과 pro.dll(MD5 : 5B8694A1F99119B082BA1648A48CCFB1) 파일을 포함하고 있으며, 2개의 파일 모두 국내외 보안 제품에서 전혀 진단이 이루어지지 않고 있습니다.

 

 

참고로 이들 2개의 파일은 모두 네이버(Naver) 이메일 계정 로그인을 시도하고 있는 것을 확인할 수 있습니다.

 

 

해당 실행 파일을 실행할 경우 반드시 vb6ko.dll 파일이 설치된 환경에서만 동작하도록 구성되어 있습니다.

 

 

실행 조건이 만족된 환경에서는 초기 실행시 사용 환경 초기화가 완료되었다는 메시지와 함께 실행되며 [메이플스토리 Chaos Trainer]로 표기된 창이 생성됩니다.

해당 창에서는 반드시 [핵 적용하기] 버튼을 클릭하여 동작하는 것처럼 구성되어 있으며, 해당 창이 트레이너 창이 생성되는 과정에서 다음과 같은 연결을 확인할 수 있습니다.

 

 

즉, 특정 파란(Paran) 호스팅 계정(fbweb.hosting.paran.com)에 연결하여 777.txt 파일에 등록된 광고 사이트 주소를 불러옵니다.(※ 해당 동작은 차후 프로그램 종료시 광고창 생성을 목적으로 합니다.)

 

 

사용자가 핵 적용 버튼을 클릭할 경우 그림과 같은 절차에 따라 메이플스토리 계정 정보(ID, 비밀번호, 2차 비밀번호)를 입력하는 인증창이 생성됩니다.

 

 

만약 사용자가 해당 인증창에 게임 계정 정보를 입력할 경우 특정 네이버 계정에 해당 정보를 이메일 방식으로 전송하는 동작을 확인할 수 있습니다.

 

 

이런 특정 네이버 계정 이메일로 전송하는 과정에서 계정 수집자의 네이버 계정 아이디(ID)와 비밀번호가 노출되는 것을 확인할 수 있습니다.

해당 파일은 계정 정보 수집 동작 이외에 실질적인 온라인 게임핵과 관련된 동작은 이루어지지 않습니다.

 

 

해당 프로그램을 종료할 경우 기존과 동일하게 특정 웹하드 추천인 광고 목적으로 인터넷 사이트가 열리는 동작을 확인할 수 있습니다.

위와 같이 인터넷 상에서 온라인 게임핵으로 위장하여 계정 정보를 수집하는 활동이 활발하게 이루어지고 있으므로 함부로 계정 정보를 신뢰할 수 없는 프로그램에 등록하는 일이 없도록 주의하시기 바랍니다.