국내에서 안티바이러스(Anti-Virus) 보안 제품으로 해결되지 않는 악성 프로그램이나 불필요한 광고 프로그램(PUP)을 검사하여 문제를 해결해주고 있는 Malware Zero 악성코드 제거 도구는 공식 사이트를 통해 꾸준하게 현재까지 서비스가 이루어지고 있습니다.
▷ 보조 악성코드 제거 스크립트 도구 : Malware Zero Kit (MZK) (2014.7.12)
그런데 최근 티스토리(Tistory) 블로그를 개설하여 Malware Zero 검사 도구인 것처럼 위장한 악성 파일이 유포된다는 정보가 수집되어 간단하게 살펴보도록 하겠습니다.
개발자가 운영하는 것처럼 운영되고 있는 해당 블로그는 2023년 5월 30일 ~ 2023년 7월 10일까지 5개의 게시글을 통해 다양한 프로그램 소개와 더불어 파일 다운로드를 할 수 있도록 구성되어 있습니다.
게시글에서는 MEGA 해외 파일 클라우드 서비스 링크를 통해 파일을 누구나 다운로드할 수 있도록 공개하고 있습니다.
다운로드된 파일은 Malware Zero.zip 압축 파일(54.8MB)으로 구성되어 있으며, Malware Zero 공식 사이트에서 제공하는 MalwareZero.zip 압축 파일(10.0MB)과는 파일 크기가 매우 다릅니다.
압축 파일 내부의 파일 구성은 어느 정도 차이가 있는지 확인을 해보면 Malware Zero 정식 파일은 실행 방식이 .bat 배치 파일로 동작하여 CMD 명령창이 생성됩니다.
이에 반하여 Malware Zero 악성 압축 파일 내부는 .bat 배치 파일이 아닌 실행 파일(.exe)이 포함되어 있는 것을 알 수 있습니다.
가짜 Malware Zero 압축 파일에 포함되어 있는 Malware Zero.exe 악성 파일(SHA-1 : f8b842a9a45c9129f43546420f8c2853afb42a53 - ESET : Python/Spy.Agent.VO)은 스마일(Smile) 아이콘 모양을 하고 있으며 "ThiefCat ethical hacking System" 이라는 정보가 포함된 44.9MB 대용량 파일로 제작되어 있습니다.
해당 악성 파일은 가상 환경 체크를 통해 분석 환경에서는 동작하지 않도록 제작된 것으로 보이며, 다음과 같은 정보를 수집하여 anonfiles 파일 업로드 서비스에 전송할 수 있습니다.
AliExpress
Amazon
Binance Exchange
Brave
CentBrowser
Comodo Dragon
Crunchyroll
Discord
Disney
Ebay
Epic Games
ExpressVPN
Facebook
FileZilla
Firefox
Gmail
Google Chrome
HBO
Hotmail
Instagram
Kiwi Browser
Microsoft Edge
Minecraft
Naver Whaler
Netflix
Opera
Opera Neon
Origin
Outlook
Paypal
PlayStation
Pornhub
RIOT Games
Roblox
Sellix
Slimjet
Spotify
SRWare Iron
Steam
Telegram Desktop
TikTok
Torch Browser
Twitch
Twitter
Uber
Vivaldi
Xbox
Yahoo
Yandex Browser
YouTube수집되는 정보는 신용 카드, 웹 브라우저, 게임, 암호 화폐 거래소, SNS, 이메일, 쇼핑몰 등 금전적 피해를 줄 수 있는 다양한 정보와 Wi-Fi, VPN, 북마크, 접속 히스토리, 스크린 샷, 컴퓨터 이름 등 방대한 자료를 수집하여 외부로 유출할 수 있습니다.
그러므로 인터넷 검색 등을 통해 프로그램 다운로드를 할 경우에는 공식 제작사 사이트에서 받은 후 백신 프로그램을 통한 검사를 반드시 하시고 사용하는 습관을 가지시기 바랍니다.