안랩 보안 뉴스레터를 구독 중인데, 게임에뮬레이터 설치 시 코인마이너 또한 함께 설치되서 나도 모르게 컴퓨터자원 일부를 코인채굴에 사용해 남의 지갑으로 보내게 되는 내용을 보아 공유한다. 안랩에 의해 작성된 기사이며 공유 되어야 할 내용으로 판단해 링크와 함께 본문을 복사해 첨부.
hnLab SEcurity intelligence Center(ASEC)은 최근 게임 에뮬레이터를 통해 XMRig코인마이너가 유포되고 있는 정황을 확인하였다. 이러한 사례들은 이미 아래의 ASEC 블로그와 같이 다수 소개된 바 있다.
- 한글 워드 프로세서 크랙으로 위장하여 유포 중인 Orcus RAT - ASEC BLOG (ahnlab.com)
- 한글 워드 프로세서 크랙으로 위장하여 유포 중인 Orcus RAT - ASEC BLOG (ahnlab.com)
- 게임핵을 통해 설치되는 XMRig 코인마이너 - ASEC BLOG (ahnlab.com)
1. 유포 경로
코인마이너가 유포된 경로는 유명 게임기기의 게임 에뮬레이터를 배포하는 사이트로 확인되었으며, 해당 사이트의 우측에 있는 다운로드 버튼을 누를 시 게임 에뮬레이터의 압축파일을 다운로드 받을 수 있다.
[그림 1] 게임 에뮬레이터 배포 페이지 메인
[그림 2] 게임 에뮬레이터 배포 다운로드 페이지
실제 해당 게임 에뮬레이터를 검색 엔진에서 찾아보면 다수의 블로그들이 악성코드가 포함되어 있다는 사실을 인지하지 못하고 해당 게임 에뮬레이터를 소개하고 있다.
[그림 3] 게임 에뮬레이터를 소개하는 블로그-1
[그림 4] 게임 에뮬레이터를 소개하는 블로그-2
2. 게임 에뮬레이터를 통해 설치되는 코인마이너
게임 에뮬레이터를 다운로드 받게 되면 [그림 5]와 같이 압축 파일 형태이다. Readme.txt에는 emulator_installer.zip의 비밀번호와 압축 해제에 오류가 발생 했을 때의 가이드가 적혀있다.
[그림 5] 게임 에뮬레이터 압축 파일
[그림 6] Readme.txt
emulator_installer.zip에는 설치 가이드와 에뮬레이터 설치 프로그램이 존재한다. 게임 에뮬레이터 설치 프로그램을 실행하면, [그림 8]과 같이 게임 에뮬레이터 설치 프로그레스 바가 나오는 것을 확인 할 수 있다. 하지만, 실제로는 게임 에뮬레이터가 설치되고 있는 것이 아니라 설치 파일 내부의 리소스에 존재하는 코인마이너가 생성된다.
[그림 7] emulator_installer.zip의 압축 해제
[그림 8] 게임 에뮬레이터 설치 프로그레스 바
[그림 9] 코인마이너 생성 코드
[그림 10] 생성된 코인마이너
코인마이너가 생성된 후에는 PowerShell 명령어로 실행되며, 자가 복제 후 자동 실행을 위해 레지스트리 등록과 작업 스케줄러 등록을 수행하고 자가 복제한 파일을 실행하여 최종적으로 코인마이너 역할을 수행한다.
자가 복제 파일명
– “pckcache.exe”
레지스트리 등록 경로
– 경로: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
– 값 이름: Package Cache Cleaner
– 값 데이터: C:\Users\[사용자명]\AppData\Roaming\PackageCache\pckcache.exe
작업 스케줄러 등록
– 이름: Package Cache Cleaner
– 트리거: 사용자가 로그온할 때
– 동작: %AppData%\PackageCache\pckcache.exe
[그림 11] PowerShell 실행 명령어
[그림 12] 자가 복제
[그림 13] 레지스트리 등록
[그림 14] 작업 스케줄러 등록
이와같이 게임이나 게임 에뮬레이터를 통해 악성코드가 활발하게 유포되고 있어 사용자의 주의가 필요하다. 출처가 불분명한 자료 공유 사이트에서 다운받은 실행파일은 각별히 주의해야 하며, 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다. 해당 유형의 악성코드는 다음과 같이 안랩에서 진단 중이다.
[파일 진단]
Trojan/Win.Agent.C5623899 (2024.05.21.02)
Trojan/Win.Generic.R603077 (2023.09.03.03)
원본 안랩 뉴스레터 페이지
지능적인 놈들인게 게임에뮬을 돌리는 pc라면 사양이 높을 것이고. 그래픽 카드도 있을테고, 거기에 덩달아 마이너프로그램을 몰래 설치시켜 채굴시키려는 의도에 소름돋는다..ㅋㅋ
위의 기사에서 그림9에서 발췌한 코드가 참고할 만하다. 물론 저렇게 악용하는 것 말고.. 배포나 프로그램내에 백그라운드로 돌아야하거나 필수로 있어야 하는 파일의 경우에.... 어쨌든 내용 공유!
'각종정보' 카테고리의 다른 글
셀프 미생물 음식물 쓰레기 처리기 만들기-음쓰처리기 (0) | 2024.08.01 |
---|---|
네이버 블로그 애드포스트 등록 성공 (1) | 2024.06.08 |
하이패스 룸미러 등록하기-룸미러 하이패스 기기 확인/등록/변경 하기 (0) | 2024.04.29 |
하이패스 요금 내역 조회하기 (0) | 2024.04.24 |
케이카 중고차 구매 하기-차량선택,홈서비스구매,차량명의이전 (0) | 2024.04.20 |