최신 정보
보안 / 해킹 좀비 영화 ‘반도’, 토렌트로 불법 다운로드했다간... 좀비 PC 된다
2020.08.10 08:38
영화 ‘결백’ 이어 ‘반도’까지... 동영상 파일 위장 악성코드, 토렌트로 유포
안랩 ASEC 분석팀 “토렌트 통한 악성코드 유포 파급력 커 불법 다운로드 지양해야”
지난 6월 말 최신 상영 영화인 ‘결백’ 파일을 위장한 백도어 악성코드가 유포된 데 이어 최근에는 현재도 인기리에 상영 중인 ‘반도’ 영화 파일로 새롭게 위장한 백도어 악성코드가 유포되고 있는 것으로 드러났다.
보안전문업체 안랩의 ASEC 분석팀에 따르면 ‘결백’ 영화 파일로 위장한 악성코드를 발견한 데 이어 동일한 유형의 악성코드를 모니터링 하던 중 최신 영화 ‘반도’ 파일로 새롭게 위장한 백도어 악성코드가 유포되는 정황을 포착했다.
▲악성코드 유포 토렌트 사이트[자료=안랩 ASEC 분석팀]
영화 ‘반도’로 위장한 악성코드를 유포한 공격자는 지난 번 ‘결백’ 영화 파일과 동일하게 일반 이용자들이 많이 접속하는 ‘토렌트(Torrent)’를 통해 악성코드를 유포했으며, 업로드 시점은 8월 4일 2시 20분으로 확인됐다. 안랩의 ASD(AhnLab Smart Defense) 인프라에 따르면 해당 파일에 의한 감염자 수가 단기간 내 빠르게 증가한 것으로 나타났다.
유포지에서 다운로드 된 토렌트 파일명은 ‘반도.2019.1080p.x265.Netbox.zip’로 영화 파일인 것처럼 보이지만, 실제 파일의 확장자는 zip 압축파일이다. 해당 압축파일 내부에는 ‘반도’와 무관한 영화 동영상 파일과 ‘Netbox.exe’이라는 이름의 악성코드 등 총 2개의 파일이 존재하는 것으로 분석됐다.
악성코드 제작자는 영화 동영상 파일의 확장자를 .Netbox으로 변경하여 마치 영화를 보기 위해서는 악성코드(Netbox.exe)를 실행해야 하는 것처럼 위장했다. 이용자가 영화를 보기 위해서 ‘Netbox.exe’를 실행할 경우 백도어 악성코드가 실행되며 해당 악성코드는 추가적으로 정상 BraveSoftware 브라우저 설치를 유도한다고 안랩 ASEC 분석팀은 설명했다. 정상 프로그램을 설치하도록 함으로써 악성코드 감염을 인지하지 못하게 하려는 의도라는 얘기다.
최종적으로 이용자 PC에서 실행되는 악성코드는 백도어 형태의 악성코드이며, 명령제어(C&C) 서버와의 연결이 성공할 경우 공격자로부터 다양한 명령을 전달 받을 수 있는 것으로 알려졌다. 수행하는 명령과 관련된 문자열 정보를 분석한 결과, 공격자는 디도스(DDoS), 시스템 정보 유출, 웹캠 제어, 키로깅, 스크린 캡처, BSOD 유발, 파일 다운로드 및 업로드 등 감염 PC를 제어하기 위한 다양한 명령을 내릴 수 있다.
한 마디로 좀비 영화를 보려고 악성코드를 다운로드 받았다가 정작 이용자 PC가 좀비 PC로 전락할 수 있는 셈이다.
안랩 ASEC 분석팀은 “지난 번 ‘결백’ 영화 파일 때와 마찬가지로 토렌트를 통한 악성코드 유포 방식의 파급력은 상당히 큰 것으로 보인다”며, “사용자는 불법 다운로드를 지양하고, 출처가 불분명한 사이트에서 의심스러운 파일을 다운로드 하지 않도록 각별히 주의해야 한다”고 당부했다.
안랩 ASEC 분석팀 “토렌트 통한 악성코드 유포 파급력 커 불법 다운로드 지양해야”
지난 6월 말 최신 상영 영화인 ‘결백’ 파일을 위장한 백도어 악성코드가 유포된 데 이어 최근에는 현재도 인기리에 상영 중인 ‘반도’ 영화 파일로 새롭게 위장한 백도어 악성코드가 유포되고 있는 것으로 드러났다.
보안전문업체 안랩의 ASEC 분석팀에 따르면 ‘결백’ 영화 파일로 위장한 악성코드를 발견한 데 이어 동일한 유형의 악성코드를 모니터링 하던 중 최신 영화 ‘반도’ 파일로 새롭게 위장한 백도어 악성코드가 유포되는 정황을 포착했다.
▲악성코드 유포 토렌트 사이트[자료=안랩 ASEC 분석팀]
영화 ‘반도’로 위장한 악성코드를 유포한 공격자는 지난 번 ‘결백’ 영화 파일과 동일하게 일반 이용자들이 많이 접속하는 ‘토렌트(Torrent)’를 통해 악성코드를 유포했으며, 업로드 시점은 8월 4일 2시 20분으로 확인됐다. 안랩의 ASD(AhnLab Smart Defense) 인프라에 따르면 해당 파일에 의한 감염자 수가 단기간 내 빠르게 증가한 것으로 나타났다.
유포지에서 다운로드 된 토렌트 파일명은 ‘반도.2019.1080p.x265.Netbox.zip’로 영화 파일인 것처럼 보이지만, 실제 파일의 확장자는 zip 압축파일이다. 해당 압축파일 내부에는 ‘반도’와 무관한 영화 동영상 파일과 ‘Netbox.exe’이라는 이름의 악성코드 등 총 2개의 파일이 존재하는 것으로 분석됐다.
악성코드 제작자는 영화 동영상 파일의 확장자를 .Netbox으로 변경하여 마치 영화를 보기 위해서는 악성코드(Netbox.exe)를 실행해야 하는 것처럼 위장했다. 이용자가 영화를 보기 위해서 ‘Netbox.exe’를 실행할 경우 백도어 악성코드가 실행되며 해당 악성코드는 추가적으로 정상 BraveSoftware 브라우저 설치를 유도한다고 안랩 ASEC 분석팀은 설명했다. 정상 프로그램을 설치하도록 함으로써 악성코드 감염을 인지하지 못하게 하려는 의도라는 얘기다.
최종적으로 이용자 PC에서 실행되는 악성코드는 백도어 형태의 악성코드이며, 명령제어(C&C) 서버와의 연결이 성공할 경우 공격자로부터 다양한 명령을 전달 받을 수 있는 것으로 알려졌다. 수행하는 명령과 관련된 문자열 정보를 분석한 결과, 공격자는 디도스(DDoS), 시스템 정보 유출, 웹캠 제어, 키로깅, 스크린 캡처, BSOD 유발, 파일 다운로드 및 업로드 등 감염 PC를 제어하기 위한 다양한 명령을 내릴 수 있다.
한 마디로 좀비 영화를 보려고 악성코드를 다운로드 받았다가 정작 이용자 PC가 좀비 PC로 전락할 수 있는 셈이다.
안랩 ASEC 분석팀은 “지난 번 ‘결백’ 영화 파일 때와 마찬가지로 토렌트를 통한 악성코드 유포 방식의 파급력은 상당히 큰 것으로 보인다”며, “사용자는 불법 다운로드를 지양하고, 출처가 불분명한 사이트에서 의심스러운 파일을 다운로드 하지 않도록 각별히 주의해야 한다”고 당부했다.