커뮤니티·개발도구에 가짜 글…악성코드 감염 유도
소프트웨어(SW) 불법복제본을 찾는 이들에게 악성코드를 감염시키기 위해 온라인 커뮤니티의 질문·답변을 꾸며내고 개발자 플랫폼에 거짓 글을 올린 사례가 발견됐다.
20일 정보보호업계에 따르면 안랩시큐리티인텔리전스센터(ASEC)는 전날 이 같은 '루마C2(LummaC2)' 악성코드 유포사례를 공개했다.
해커는 윈도우 환경에서 고급검색·폴더동기화·파일전송규약(FTP) 등 기능을 지원하는 유료 파일관리 유틸리티 앱 '토털 커맨더(Total Commander)'를 무료로 사용하겠다며 '크랙 버전'을 찾는 PC 사용자들을 노렸다. 크랙 버전은 유료 SW의 저작권 보호장치를 무력화한 복제본을 말한다.
구글에서 '토털 커맨더 크랙'을 검색해 표시되는 웹페이지를 클릭하면 구글의 클라우드 기반 개발자 플랫폼 '구글 코랩(Colab)' 드라이브로 연결, 다운로드 버튼을 누르게 한다.
ASEC 연구진에 따르면 해커는 페이지 리다이렉션(Redirection·자동전환)을 사용하지 않고, 각종 설명문이 적힌 여러 페이지를 사용자가 직접 읽어가며 링크를 클릭하도록 유도한다.
연구진은 "특히 해외 유명 온라인 커뮤니티 '레딧(Reddit)'에 토털 커맨저 크랙 버전 요청에 관련한 게시물과 이에 대한 답변으로 댓글에 링크를 첨부하는 등의 치밀함이 보인다"고 밝혔다.
마침내 사용자가 내려받은 파일은 암호가 설정된 채 이중으로 압축돼 있고, '시작 전 읽어보세요' 등의 제목이 적힌 메모장 파일이 동봉돼 있다. 설치파일을 실행하면 루마C2 악성코드에 감염된다.
루마C2 악성코드는 명령어를 여러 차례 감싼 형태로, 명령어 사이에 의미 없는 문자열을 추가해 해석하기 어렵게 한다고 설명했다.
연구진은 "정보를 탈취하는 유형의 악성코드로 2023년 초 본격적으로 유포되기 시작해 주로 크랙·시리얼(정품인증키) 등의 불법 프로그램을 위장해 뿌려진다"며 "감염될 경우 웹브라우저에 저장된 계정, 메일, 가상자산 지갑, 자동 로그인 등 민감정보가 해커의 C&C(지휘통제) 서버로 전송된다"고 경고했다.
이어 "탈취된 정보는 다크웹에서 거래되거나 추가 공격에 활용되는 등 2차 피해가 발생할 수 있고, 개인 PC에서 탈취된 정보를 악용해 기업 시스템까지 공격하는 침해사고도 꾸준히 발생하고 있다"며 "SW를 내려받을 때는 공식 배포 사이트를 이용하는 게 좋고, 출처가 불분명한 SW는 각별한 주의가 필요하다"고 밝혔다.
독자들의 PICK!
악성코드를 은폐하는 수법은 나날이 다양화하고 있다. ASEC는 지난해와 올해에 걸쳐 △협업 플랫폼 '노션(Notion)' 설치파일 △게임 플랫폼 '스팀(Steam)' 프로필 링크 △자동접속 방지용 '캡차(CAPTCHA)' 페이지를 통한 악성코드 유포 사례를 공개했다.
