본문 바로가기
<정보 및 지식>/◈ 컴퓨터 & IT

게임 방송 콘텐츠로 위장한 악성코드..주의!

by 파스칼바이런 2016. 6. 20.

게임 방송 콘텐츠로 위장한 악성코드..주의!

AhnLab / 2016-06-15

 

 

최근 게임(Game) 애호가들을 노리는 악성코드가 발견돼 사용자들의 주의가 필요하다. 게임 이용자를 노리는 악성코드는 이전부터 존재해왔지만 이번에 발견된 악성코드는 게임 방송 콘텐츠로 위장한 사례로, 직/간접적으로 게임을 즐기는 불특정 다수를 대상으로 하고 있다.

 

이제 게임을 해야만 게임을 즐길 수 있는 시대는 지났다. 프로게이머의 경기를 관람하는 e-스포츠는 하나의 확실한 문화로 자리를 잡았고, 게임 속 캐릭터로 분장하는 행사 등 직접 게임을 하는 것 외에도 다양한 방식으로 게임을 즐길 수 있다. 또 최근 태블릿 PC나 스마트폰 보급이 확대됨에 따라 방송국이 아닌 1인 방송 형식의 게임 해설 BJ(Broadcasting Jockey)와 관련 콘텐츠도 늘어나고 있다.

 

이번에 발견된 악성코드는 유명 게임 커뮤니티 사이트를 통해 게임 해설 BJ의 게임 콘텐츠로 위장해 유포됐다. 공격자는 [그림 1]과 같이 게임 커뮤니티의 게시판에 게임에 대한 해설과 함께 외부 사이트 주소(URL)를 올려 게임 방송 콘텐츠를 즐겨 보는 사용자들의 관심을 끌었다.

 

 

[그림 1] 유명 게임 커뮤니티 사이트에 올라온 게시물

 

사용자가 해당 게시물의 링크를 클릭하면 [그림 2]와 같은 영상이 나타난다. 공격자는 게임 관련 영상을 보여주기 위해 동영상 스트리밍 주소를 아이프레임 형태로 삽입했다.

 

 

[그림 2] 사이트 접속 시 화면에 보여지는 게임 영상

 

이 사이트에는 동영상 스트리밍 주소뿐만 아니라 악성 스크립트도 함께 삽입되어 있다. 사용자가 게임 영상을 보는 동안 해당 사이트에 삽입되어 있던 악성 스크립트가 실행되어 사용자 PC에 악성코드를 다운로드하는 것이다.

 

또한 악성 스크립트는 MS OLE 취약점을 악용하여 악성 파일을 다운로드한다. MS OLE 취약점에 의해 다운로드된 악성 파일은 아래와 같은 경로에 또 다른 파일을 생성한다. 또한 서비스 항목 레지스트리를 변경하여 악성 파일이 자동으로 실행되도록 한다.

 

 

이와 함께 주기적으로 외부 네트워크 연결을 시도하며 이를 통해 사용자 PC의 정보 및 사용자의 개인 정보를 유출한다.

 

이번에 발견된 악성코드는 MS OLE 취약점을 이용하고 있다. 만일 사용자가 게임 방송 콘텐츠로 위장한 악성URL을 클릭했더라도 운영체제나 MS Office 등 주로 사용하는 소프트웨어의 최신 보안 업데이트를 설치해둔 경우라면 악성 파일이 다운로드되지 않는다.

 

따라서 악성코드 감염을 예방하기 위해서는 평소 운영체제, 소프트웨어의 보안 업데이트를 통해 알려진 보안 취약점을 최소화해야 한다. 또한, 인터넷 이용 중에 접하게 되는 의심스러운 URL은 접속하지 말아야 한다.

 

V3 제품에서는 해당 악성코드를 아래와 같은 진단명으로 탐지하고 있다.

 

<V3 제품군의 진단명>

Trojan/Win32.Downloader (2016.06.04.00)

BinImage/Encdata (2015.07.29.04)