안랩_파일공유 사이트에 업로드 된 불법 인증 툴 위장 악성파일_1 / 사진제공=안랩
안랩 (63,600원 ▲100 +0.16%)(대표이사 강석균)은 불법 설치 윈도우의 정품 인증을 위한 '불법인증 툴'로 위장한 파일을 파일공유 사이트 등에 올려 악성코드를 유포하는 사례를 발견했다며 18일 이같이 밝혔다.
안랩에 따르면 공격자는 국내 다수 파일 공유 사이트에 'KMS Tools', 'KMS Tools Portable' 등 제목으로 불법 윈도우 정품 인증 툴로 위장한 압축파일(.7z)을 업로드했다.
만약 해당 PC에 V3가 설치된 환경이라면 이를 감지해 원격제어 악성코드가 아닌 'XMRig'라는 암호화폐 채굴 악성코드만 설치한다. 이는 V3가 설치된 환경에서 원격제어 악성코드의 악성행위가 명확하게 진단될 수 있기 때문인 것으로 추정된다.
이재진 안랩 분석팀 주임연구원은 "파일공유 사이트 등에서 제품을 불법으로 다운로드하는 사용자를 노린 공격은 지속적으로 발생하고 있다"며 "공격자는 앞으로 파일의 이름을 바꿔 다양한 파일공유 사이트에서 유사한 공격을 이어갈 것으로 예상되기 때문에 사용자는 반드시 공식 경로로 콘텐츠를 이용해야 한다"고 했다.
안랩_파일공유 사이트에 업로드 된 불법 인증 툴 위장 악성파일_2 / 사진제공=안랩
압축파일 내부에 존재하는 악성 실행파일 / 사진제공=안랩