웹하드

웹하드를 통해 유포 중인 모네로 코인 마이너 악성코드

웹하드는 국내 사용자를 대상으로 하는 공격자들이 사용하는 대표적인 악성코드 유포 플랫폼이다. ASEC 분석팀에서는 웹하드를 통해 유포되는 악성코드들을 모니터링하고 있으며 과거 다수의 블로그를 통해 정보를 공유한 바 있다. 일반적으로 공격자들은 성인 게임이나 사용 게임의 크랙 버전과 같은 불법 프로그램과 함께 악성코드를 유포한다. 이렇게 웹하드를 유포 경로로 사용하는 공격자들은 주로 njRAT이나 UdpRAT, DDoS IRC Bot과 같은 RAT 유형의 악성코드를 설치한다. 최근 ASEC 분석팀에서는 웹하드를 통해 XMRig 즉 모네로 코인 마이너를 유포하는 사례가 확인되어 블로그에 소개하려고 한다. 악성코드가 유포된 경로를 확인한 결과 다음과…

윈도우 정품인증 툴로 위장하여 유포 중인 BitRAT 악성코드

ASEC 분석팀에서는 최근 BitRAT 악성코드가 웹하드를 통해 유포 중인 것을 확인하였다. 공격자는 윈도우 10 인증 툴을 위장하여 악성코드를 제작하였기 때문에 사용자가 윈도우 정품 인증을 위해 웹하드에서 불법 인증 크랙 툴을 다운로드받아 설치할 경우 BitRAT 악성코드가 설치될 수 있다. 다음은 웹하드에서 업로드된 악성코드가 포함된 게시글이며 “[최신][초간단]윈도우 정품 인증[원클릭]” 이라는 제목이다. 다운로드된 파일은 “Program.zip”이라는 압축 파일이며, 게시글의 설명대로 비밀번호 “1234”로 암호 압축되어 있다. 압축 파일 내부에는 다음과 같이 ”W10DigitalActivation.exe”라고 하는 윈도우 10 정품 인증 툴이 포함되어 있다. ”W10DigitalActivation.exe”는 7z SFX 파일로써 내부에…

웹하드를 통해 유포 중인 njRAT

웹하드는 국내 사용자를 대상으로 하는 공격자들이 사용하는 대표적인 악성코드 유포 플랫폼이다. ASEC 분석팀에서는 웹하드를 통해 유포되는 악성코드들을 모니터링하고 있으며 과거 다수의 블로그를 통해 정보를 공유한 바 있다. 최근에는 UdpRat이나 GoLang으로 개발된 DDoS IRC Bot 등 다양한 형태가 사용되고 있지만, 과거에는 아래와 같이 njRAT이 다수의 공격에서 사용되어 왔다. 국내 유명 웹하드를 통해 유포되는 njRAT 악성코드 파일 공유 사이트(성인물) 통해 유포 중인 Korat 백도어 웹하드와 토렌트를 통해 유포 중인 njRAT ASEC 분석팀에서는 최근 웹하드를 통해 유포 중인 njRAT 악성코드를 확인하여 블로그에서 소개하려고…

웹하드를 통해 유포 중인 DDoS IRC Bot 악성코드 (GoLang)

ASEC 분석팀에서는 국내 수집되고 있는 악성코드들의 유포지를 모니터링하던 중 Go 언어로 개발된 DDoS IRC 봇 악성코드들이 성인 게임을 위장하여 웹하드를 통해 설치되고 있는 사실을 확인하였다. 웹하드는 국내 환경에서 악성코드 유포에 활용되는 대표적인 플랫폼으로써 과거 njRAT이나 UDP Rat을 유포한 사례가 있다. 웹하드를 통해 유포 중인 UDP Rat 악성코드 최근 확인되고 있는 유포 사례는 기본적으로 위에서 다룬 사례와 유사하며 동일한 공격자가 아직까지 악성코드를 유포하고 있는 것으로 보인다. 성인 게임을 위장하여 악성코드를 유포하는 점 외에도 다운로더 악성코드를 거쳐 DDoS 악성코드를 설치하는 점 그리고…

웹하드를 통해 유포 중인 악성코드 (10/8일자)

ASEC 분석팀에서는 국내 악성코드들의 유포지를 모니터링하고 있으며, 최근에는 UDP Rat 악성코드와 이를 유포하는데 사용되는 웹하드 게시글을 소개한 바 있다. 공격자로 추정되는 업로더는 아래의 블로그가 공개된 이후에도 또 다른 웹하드를 이용해 유사한 악성코드들을 성인 게임으로 위장하여 유포하고 있으며 현재도 다운로드가 가능한 상황이다. – 웹하드를 통해 유포 중인 UDP Rat 악성코드 위의 게시글을 보면 zip 압축 파일을 이용한 이전 블로그 사례와 달리 egg 압축 파일을 업로드한 것으로 보이지만 실제 압축 파일은 zip 파일 포맷이다. 그리고 게시글의 아래를 보면 압축을 풀고 Game.exe를 실행시키라는…