안랩이 18일 불법 복제 윈도의 정품인증 도구(크랙)로 위장한 악성코드를 발견하고 사용자 주의를 당부했다.
안랩에 따르면 공격자는 국내 다수의 파일공유 사이트에 'KMS Tools', 'KMS Tools Portable' 등의 제목으로 불법 복제 윈도 크랙 파일을 게시했다.
사용자가 내려받은 크랙 파일을 실행할 경우 'BitRAT'이라는 원격제어 악성코드가 내려받아 추가 설치된다. BitRAT 악성코드가 PC에 설치되면 공격자가 PC를 원격에서 제어할 수 있고, 개인정보 탈취, 암호화폐 채굴 등 다양한 악성행위도 수행할 수 있다.
안랩은 해당 PC에 V3가 설치됐다면, 크랙 파일이 이를 감지해 BitRAT 대신 암호화폐 채굴 악성코드 'XMRig'만 설치한다. 안랩은 이에 대해 원격제어 악성코드 행위가 V3에 명확하게 진단될 수 있기 때문이라고 추정했다. 한편, 설치된 XMRig는 사용자 PC 자원을 이용해 암호화폐를 채굴하기 때문에 성능 저하 등이 발생할 수 있다.
이재진 안랩 분석팀 주임연구원은 "파일공유 사이트 등에서 제품을 불법으로 내려받는 사용자를 노린 공격은 지속적으로 발생하고 있다"며 "공격자는 앞으로 파일의 이름을 바꿔 다양한 공유 사이트에서 유사한 공격을 이어갈 것으로 예상된다. 때문에 사용자는 반드시 공식 경로를 통해 콘텐츠를 이용해야 한다"고 말했다.
한편, 이 같은 공격을 예방하기 위해서 사용자는 △불법 콘텐츠 설치 금지 △파일 내려받기 시 공식 홈페이지 이용 △운영체제, 웹 브라우저, 소프트웨어 등 최신 버전 유지 △백신 사용과 실시간 감시 적용 등 보안수칙 준수가 필요하다.
안랩에 따르면 공격자는 국내 다수의 파일공유 사이트에 'KMS Tools', 'KMS Tools Portable' 등의 제목으로 불법 복제 윈도 크랙 파일을 게시했다.
사용자가 내려받은 크랙 파일을 실행할 경우 'BitRAT'이라는 원격제어 악성코드가 내려받아 추가 설치된다. BitRAT 악성코드가 PC에 설치되면 공격자가 PC를 원격에서 제어할 수 있고, 개인정보 탈취, 암호화폐 채굴 등 다양한 악성행위도 수행할 수 있다.
안랩은 해당 PC에 V3가 설치됐다면, 크랙 파일이 이를 감지해 BitRAT 대신 암호화폐 채굴 악성코드 'XMRig'만 설치한다. 안랩은 이에 대해 원격제어 악성코드 행위가 V3에 명확하게 진단될 수 있기 때문이라고 추정했다. 한편, 설치된 XMRig는 사용자 PC 자원을 이용해 암호화폐를 채굴하기 때문에 성능 저하 등이 발생할 수 있다.
한편, 이 같은 공격을 예방하기 위해서 사용자는 △불법 콘텐츠 설치 금지 △파일 내려받기 시 공식 홈페이지 이용 △운영체제, 웹 브라우저, 소프트웨어 등 최신 버전 유지 △백신 사용과 실시간 감시 적용 등 보안수칙 준수가 필요하다.