불법 인증 툴로 위장한 악성코드 유포, 파일공유 사이트 사용자 주의 필요
Author: Solgeo-nobi, Update: January-23-25 01:57. View Count : 113,
Location: Home > Blog > 불법 인증 툴로 위장한 악성코드 유포, 파일공유 사이트 사용자 주의 필요
안랩(대표 강석균)은 최근, 불법적으로 윈도우 정품 인증을 위한 '불법 인증 툴'로 위장한 파일을 파일공유 사이트에 업로드하여 악성코드를 유포하는 사례를 발견하고, 사용자들에게 주의를 당부했다.
해당 공격자는 여러 파일공유 사이트에 'KMS Tools', 'KMS Tools Portable' 등의 이름으로 불법 윈도우 인증 툴을 위장한 압축 파일(.7z)을 올렸다. 사용자가 이 파일을 다운로드하고 압축을 풀어 실행파일인 'KMS Tools Unpack.exe'를 실행하면, 원격 제어 악성코드인 BitRAT이 추가로 설치된다. BitRAT는 감염된 컴퓨터를 원격으로 제어할 수 있을 뿐만 아니라, 개인정보 탈취, 암호화폐 채굴 등 여러 악성 행위를 할 수 있다.
만약 V3가 설치된 PC에서는 BitRAT가 아닌 'XMRig'라는 암호화폐 채굴 악성코드만 설치된다. 이는 V3가 설치된 환경에서는 원격 제어 악성코드의 악성 행위가 쉽게 탐지되기 때문으로 보인다.
현재 V3는 해당 악성 파일(KMS Tools Unpack.exe)을 실행하는 즉시 이를 진단하여 악성코드가 설치되는 것을 막는다.
안랩의 이재진 분석팀 주임연구원은 "불법 다운로드를 노린 공격이 지속적으로 발생하고 있으며, 공격자는 파일 이름을 변경하여 다양한 파일공유 사이트에서 유사한 공격을 계속할 가능성이 크다"고 경고했다. 그는 "사용자는 반드시 공식 경로를 통해 콘텐츠를 이용해야 한다"고 강조했다.
