게임 에뮬레이터를 통해 설치되는 XMRig 코인마이너
AhnLab SEcurity intelligence Center(ASEC)은 최근 게임 에뮬레이터를 통해 XMRig코인마이너가 유포되고 있는 정황을 확인하였다. 이러한 사례들은 이미 아래의 ASEC 블로그와 같이 다수 소개된 바 있다.
1. 유포 경로
코인마이너가 유포된 경로는 유명 게임기기의 게임 에뮬레이터를 배포하는 사이트로 확인되었으며, 해당 사이트의 우측에 있는 다운로드 버튼을 누를 시 게임 에뮬레이터의 압축파일을 다운로드 받을 수 있다.
실제 해당 게임 에뮬레이터를 검색 엔진에서 찾아보면 다수의 블로그들이 악성코드가 포함되어 있다는 사실을 인지하지 못하고 해당 게임 에뮬레이터를 소개하고 있다.
2. 게임 에뮬레이터를 통해 설치되는 코인마이너
게임 에뮬레이터를 다운로드 받게 되면 [그림 5]와 같이 압축 파일 형태이다. Readme.txt에는 emulator_installer.zip의 비밀번호와 압축 해제에 오류가 발생 했을 때의 가이드가 적혀있다.
emulator_installer.zip에는 설치 가이드와 에뮬레이터 설치 프로그램이 존재한다. 게임 에뮬레이터 설치 프로그램을 실행하면, [그림 8]과 같이 게임 에뮬레이터 설치 프로그레스 바가 나오는 것을 확인 할 수 있다. 하지만, 실제로는 게임 에뮬레이터가 설치되고 있는 것이 아니라 설치 파일 내부의 리소스에 존재하는 코인마이너가 생성된다.
코인마이너가 생성된 후에는 PowerShell 명령어로 실행되며, 자가 복제 후 자동 실행을 위해 레지스트리 등록과 작업 스케줄러 등록을 수행하고 자가 복제한 파일을 실행하여 최종적으로 코인마이너 역할을 수행한다.
자가 복제 파일명
– “pckcache.exe”
레지스트리 등록 경로
– 경로: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
– 값 이름: Package Cache Cleaner
– 값 데이터: C:\Users\[사용자명]\AppData\Roaming\PackageCache\pckcache.exe
작업 스케줄러 등록
– 이름: Package Cache Cleaner
– 트리거: 사용자가 로그온할 때
– 동작: %AppData%\PackageCache\pckcache.exe
이와같이 게임이나 게임 에뮬레이터를 통해 악성코드가 활발하게 유포되고 있어 사용자의 주의가 필요하다. 출처가 불분명한 자료 공유 사이트에서 다운받은 실행파일은 각별히 주의해야 하며, 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다. 해당 유형의 악성코드는 다음과 같이 안랩에서 진단 중이다.
[파일 진단]
Trojan/Win.Agent.C5623899 (2024.05.21.02)
Trojan/Win.Generic.R603077 (2023.09.03.03)
AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
