sabiz

국내 사용자들을 대상으로 웹하드를 경유해 모네로 코인 마이너 악성코드가 유포되고 있는 사례가 발견돼 웹하드 이용자들의 주의가 요구됩니다.

최근 ASEC 분석팀은 "특정 웹하드에서 게임 설치 파일로 위장한 압축 파일을 통해 XMRig 모네로 코인 마이너를 배포하는 정황을 확인했다"고 밝혔습니다. 해당 악성코드는 게임 설치 프로그램을 가장해 유포되며, 특히 성인 게임이나 불법 프로그램과 함께 배포되는 경우가 많습니다.

공격자는 주로 토렌트 및 웹하드 플랫폼을 통해 악성코드를 포함한 파일을 업로드하며, 이로 인해 원본 파일이 복제되어 다른 웹하드에도 동일한 형태로 퍼지는 것으로 드러났습니다. 다운로드한 파일을 실행하면 게임 아이콘으로 위장한 'raksasi.exe' 프로그램이 동작하고, 사용자는 게임이 정상적으로 실행된다고 착각하게 됩니다. 하지만 이 파일은 실제로는 모네로 채굴 악성코드를 설치하는 역할을 합니다.

해당 악성코드는 간단한 구조로 동작합니다. 압축 해제 후 컴퓨터의 ‘c:\Xcrcure\’ 경로에 마이닝 프로그램(xmrig.exe), 설정 파일(config.json), 실행 파일(MsDtsServer.exe)을 다운로드하며, 시작 폴더에 ‘NewStartUp.lnk’라는 바로가기를 생성해 재부팅 시 자동으로 채굴을 시작하도록 설정합니다. 이후 실제 게임 프로그램은 Resource 폴더 안에서 실행되도록 처리해 의심을 피합니다.

ASEC는 "이 악성코드는 컴퓨터 재부팅 시마다 config.json 설정을 읽어 모네로 채굴을 반복 수행한다"며 "웹하드를 포함한 파일 공유 플랫폼을 통해 유포된 실행 파일에 대한 주의가 절대적으로 필요하다"고 강조했습니다.

특히, 백신 프로그램에서 설치 과정 중 악성코드를 탐지하는 사례도 다수 보고되었으나, 이미 파일을 실행한 후에는 피해를 입을 가능성이 높습니다. 따라서 유틸리티나 게임 프로그램은 반드시 공식 웹사이트에서 다운로드해야 하며, 출처가 불분명한 파일은 실행하지 않는 것이 안전합니다.

사용자 스스로 파일 공유 플랫폼의 리스크를 인지하고, 정품 소프트웨어 사용과 주기적인 보안 점검을 통해 악성코드 감염을 예방하는 것이 중요합니다.