국내 보안 업체 안랩이 최근 파일 공유 사이트 등에서 공유되는 ‘윈도우 인증 툴’로 위장한 악성 파일이 사용자 몰래 가상자산 채굴을 하는 것으로 파악됐다며 주의를 당부했다.
18일 안랩에 따르면 이번에 발견된 불법 인증 툴은 윈도우의 정품 인증을 위한 툴로 위장한 압축파일(.7z)이다.
국내 다수의 파일 공유 사이트에서 ‘KMS Tools’, ‘KMS Tools Portable’ 등의 제목으로 유포되고 있다.
사용자가 이 압축 파일을 다운로드 받아 압축을 해제하고 내부의 실행 파일(KMS Tools Unpack.exe)을 실행할 경우 BitRAT이라는 원격 제어 악성코드가 외부 다운로드 방식으로 추가 설치된다.
BitRAT는 감염 PC에 백도어 프로그램 등을 설치해 내부 정보를 탈취하는 역할을 한다.
즉, 설치 이후 감염된 PC를 원격 제어할 수 있고, 개인정보 탈취, 암호화폐 채굴 등 여러 악성 행위를 수행할 수 있다.
만약 PC에 V3가 설치되어 있다면 원격 제어 악성코드의 설치를 막고, ‘XMRig’라는 암호화폐 채굴 악성코드만 설치된다.
이는 V3가 설치된 환경에서 원격제어 악성코드의 악성행위가 명확하게 진단될 수 있기 때문인 것으로 추정된다.
실제로 V3는 원격 제어 및 채굴 악성코드가 설치되기 전인 악성 실행 파일(KMS Tools Unpack.exe) 실행 시점에서 해당 악성파일을 진단하는 것으로 전해진다.
하지만 XMRig 채굴기만 설치되더라도 정상 프로그램의 메모리 상에서 작동하기 때문에, 채굴로 인해 컴퓨터가 느려지더라도 사용자가 인지하기 어렵다.
이재진 안랩 분석팀 주임연구원은 “파일 공유 사이트 등에서 제품을 불법으로 다운로드하는 사용자를 노린 공격은 지속적으로 발생하고 있다”며 “공격자는 앞으로 파일의 이름을 바꿔 다양한 파일 공유 사이트에서 유사한 공격을 이어갈 것으로 예상되기 때문에 사용자는 반드시 공식 경로로 콘텐츠를 이용해야 한다”고 말했다.
이어 “사용자들은 OS와 인터넷 브라우저 등의 프로그램들에 대한 최신 패치와 V3를 최신 버전으로 업데이트해 이러한 악성코드의 감염을 사전에 차단할 수 있도록 신경써야 한다”고 덧붙였다.