안랩 보안 뉴스레터를 구독 중인데, 게임에뮬레이터 설치 시 코인마이너 또한 함께 설치되서 나도 모르게 컴퓨터자원 일부를 코인채굴에 사용해 남의 지갑으로 보내게 되는 내용을 보아 공유한다. 안랩에 의해 작성된 기사이며 공유 되어야 할 내용으로 판단해 링크와 함께 본문을 복사해 첨부.
hnLab SEcurity intelligence Center(ASEC)은 최근 게임 에뮬레이터를 통해 XMRig코인마이너가 유포되고 있는 정황을 확인하였다. 이러한 사례들은 이미 아래의 ASEC 블로그와 같이 다수 소개된 바 있다.
- 한글 워드 프로세서 크랙으로 위장하여 유포 중인 Orcus RAT - ASEC BLOG (ahnlab.com)
- 한글 워드 프로세서 크랙으로 위장하여 유포 중인 Orcus RAT - ASEC BLOG (ahnlab.com)
- 게임핵을 통해 설치되는 XMRig 코인마이너 - ASEC BLOG (ahnlab.com)
1. 유포 경로
코인마이너가 유포된 경로는 유명 게임기기의 게임 에뮬레이터를 배포하는 사이트로 확인되었으며, 해당 사이트의 우측에 있는 다운로드 버튼을 누를 시 게임 에뮬레이터의 압축파일을 다운로드 받을 수 있다.
[그림 1] 게임 에뮬레이터 배포 페이지 메인
[그림 2] 게임 에뮬레이터 배포 다운로드 페이지
실제 해당 게임 에뮬레이터를 검색 엔진에서 찾아보면 다수의 블로그들이 악성코드가 포함되어 있다는 사실을 인지하지 못하고 해당 게임 에뮬레이터를 소개하고 있다.
[그림 3] 게임 에뮬레이터를 소개하는 블로그-1
[그림 4] 게임 에뮬레이터를 소개하는 블로그-2
2. 게임 에뮬레이터를 통해 설치되는 코인마이너
게임 에뮬레이터를 다운로드 받게 되면 [그림 5]와 같이 압축 파일 형태이다. Readme.txt에는 emulator_installer.zip의 비밀번호와 압축 해제에 오류가 발생 했을 때의 가이드가 적혀있다.
[그림 5] 게임 에뮬레이터 압축 파일
[그림 6] Readme.txt
emulator_installer.zip에는 설치 가이드와 에뮬레이터 설치 프로그램이 존재한다. 게임 에뮬레이터 설치 프로그램을 실행하면, [그림 8]과 같이 게임 에뮬레이터 설치 프로그레스 바가 나오는 것을 확인 할 수 있다. 하지만, 실제로는 게임 에뮬레이터가 설치되고 있는 것이 아니라 설치 파일 내부의 리소스에 존재하는 코인마이너가 생성된다.
[그림 7] emulator_installer.zip의 압축 해제
[그림 8] 게임 에뮬레이터 설치 프로그레스 바
[그림 9] 코인마이너 생성 코드
[그림 10] 생성된 코인마이너
코인마이너가 생성된 후에는 PowerShell 명령어로 실행되며, 자가 복제 후 자동 실행을 위해 레지스트리 등록과 작업 스케줄러 등록을 수행하고 자가 복제한 파일을 실행하여 최종적으로 코인마이너 역할을 수행한다.
자가 복제 파일명
– “pckcache.exe”
레지스트리 등록 경로
– 경로: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
– 값 이름: Package Cache Cleaner
– 값 데이터: C:\Users\[사용자명]\AppData\Roaming\PackageCache\pckcache.exe
작업 스케줄러 등록
– 이름: Package Cache Cleaner
– 트리거: 사용자가 로그온할 때
– 동작: %AppData%\PackageCache\pckcache.exe
[그림 11] PowerShell 실행 명령어
[그림 12] 자가 복제
[그림 13] 레지스트리 등록
[그림 14] 작업 스케줄러 등록
이와같이 게임이나 게임 에뮬레이터를 통해 악성코드가 활발하게 유포되고 있어 사용자의 주의가 필요하다. 출처가 불분명한 자료 공유 사이트에서 다운받은 실행파일은 각별히 주의해야 하며, 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다. 해당 유형의 악성코드는 다음과 같이 안랩에서 진단 중이다.
[파일 진단]
Trojan/Win.Agent.C5623899 (2024.05.21.02)
Trojan/Win.Generic.R603077 (2023.09.03.03)
원본 안랩 뉴스레터 페이지
게임 에뮬레이터를 통해 설치되는 XMRig 코인마이너 - ASEC BLOG
AhnLab SEcurity intelligence Center(ASEC)은 최근 게임 에뮬레이터를 통해 XMRig코인마이너가 유포되고 있는 정황을 확인하였다. 이러한 사례들은 이미 아래의 ASEC 블로그와 같이 다수 소개된 바 있다. 1.
asec.ahnlab.com
지능적인 놈들인게 게임에뮬을 돌리는 pc라면 사양이 높을 것이고. 그래픽 카드도 있을테고, 거기에 덩달아 마이너프로그램을 몰래 설치시켜 채굴시키려는 의도에 소름돋는다..ㅋㅋ
위의 기사에서 그림9에서 발췌한 코드가 참고할 만하다. 물론 저렇게 악용하는 것 말고.. 배포나 프로그램내에 백그라운드로 돌아야하거나 필수로 있어야 하는 파일의 경우에.... 어쨌든 내용 공유!
'각종정보' 카테고리의 다른 글
| 셀프 미생물 음식물 쓰레기 처리기 만들기-음쓰처리기 (0) | 2024.08.01 |
|---|---|
| 네이버 블로그 애드포스트 등록 성공 (1) | 2024.06.08 |
| 하이패스 룸미러 등록하기-룸미러 하이패스 기기 확인/등록/변경 하기 (0) | 2024.04.29 |
| 하이패스 요금 내역 조회하기 (0) | 2024.04.24 |
| 케이카 중고차 구매 하기-차량선택,홈서비스구매,차량명의이전 (0) | 2024.04.20 |