이번 사례는 넥슨(Nexon) 온라인 게임 메이플스토리(MapleStory) 계정을 수집할 목적으로 제작된 형태이므로 기존의 유사 사례와 참고하여 보시기 바랍니다.
유포 방식은 네이버(Naver) 블로그에 메이플스토리 트레이너로 위장한 압축형 첨부 파일로 등록하여 특정 날짜에서 핵이 가능하다는 문구로 다운로드를 유도하고 있습니다.
압축 파일 내부에는 실행 파일(MD5 : ab2bb284ca7ed8b571f7a1a946a94356)과 Xanax.dll(MD5 : 5cffff28fb75a02bf50a0be6ce779aec) 파일이 존재하며 확인 당시 국내외 보안 제품에서는 대부분 진단이 이루어지지 않고 있었습니다.
실행 파일의 아이콘은 그림과 같은 모양이며, 메이플스토리 계정 정보를 수집할 목적으로 제작되어 있습니다.
해당 파일이 실행되기 위한 조건에서는 반드시 vb6ko.dll 파일이 시스템 폴더에 존재해야 합니다.
동작 과정을 살펴보면 최초 메이플스토리 계정 정보(ID, 비밀번호, 2차 비밀번호)를 입력한 후 로그인을 시도하면 로그인 실패 메시지를 노출합니다.
실제 메이플스토리 계정 정보의 유효성 체크를 위해서는 게임 서버에 접속을 시도해야 하는데 해당 연결이 이루어지지 않으므로 해당 메시지는 가짜 메시지로 보입니다.
로그인 실패 확인 버튼을 클릭하면 마치 핵 적용을 할 수 있는 옵션창이 생성되지만 로그인 실패로 적용할 수 없다는 메시지만 생성합니다.
해당 프로그램에 계정 정보를 입력하고 핵을 적용하는 과정에서 네트워크 정보를 확인해보면 지메일(smtp.gmail.com) 서버에 연결을 시도하는 동작을 확인할 수 있습니다.
세부적으로 확인을 해보면 특정 지메일 계정으로 접속을 시도한 후 사용자가 입력한 메이플스토리 게임 계정 정보를 전송하는 동작이 이루어지고 있는 것을 확인할 수 있습니다.
이번과 같이 해외 이메일 계정으로 전송될 경우에는 수집자를 확인하기 어려우며(※ 물론 해당 유포자는 국내 특정 네이버 블로그 운영자임을 쉽게 확인할 수도 있습니다.), 기존과 달리 실제 핵이 적용될 것 같은 착각을 유발할 수 있다는 점에서 주의하시기 바랍니다.
Update : 개발자의 변 (2011.8.28)
원래 해당 프로그램은 선의의 목적으로 공개된 소스를 이용하여 다수의 악의적인 사용자가 지메일 계정을 통해 불법적으로 온라인 게임 계정 정보를 수집하는 등의 행위가 있었다는 제작자님의 말을 전달 받았습니다.
그러므로 해당 지메일 계정은 실제 유포자의 이메일이 계정이 아닌 것으로 확인이 되고 있으므로 참고하시기 바랍니다.