공격자는 유명 온라인 커뮤니티 내 가상화폐 관련 주제 게시판에 악성 스크립트를 끼워넣은 게시물을 올렸다. 사용자가 해당 게시물을 열면 드라이브-바이-다운로드(Drive-by-download) 방식에 의해 악성코드에 감염된다. ‘드라이브-바이-다운로드’ 방식이란 사용자가 직접적으로 악성코드를 실행하지 않아도 시스템 또는 애플리케이션의 보안 취약점을 통해 사용자 컴퓨터에 악성코드를 유입시키는 공격 방법이다.

해당 게시물은 가상화폐 관련 기사 내용인 것처럼 위장하고 있으며, 별 다른 이상 징후가 없어 사용자로서는 악성코드 감염 사실을 알기 어렵다. 이렇게 사용자 컴퓨터에 설치된 악성코드는 이후 사용자 몰래 C&C(Command&Control) 서버에 접속, 악성 파일을 추가로 내려받기 한다. 이렇게 내려받기된 악성 파일에는 시스템을 시작할 때 마다 자동 실행되어 백도어 기능(컴퓨터에 내장돼 사용자 몰래 사용자의 정보를 저장, 유출하는 기능)을 수행하는 악성코드가 포함되어 있다. 이를 통해 정보 유출 등의 피해가 발생할 수 있다.

V3 제품군에서는 해당 악성코드를 아래와 같은 진단명으로 탐지하고 있다.

<V3 제품군 진단명>

Trojan/Win32.Agent

한편, 현재 커뮤니티 게시판에서 해당 게시물은 삭제된 상태다. 그러나 가상화폐, 또는 평창 동계올림픽 등 사회적인 이슈를 사칭하여 악성코드를 유포하는 사례가 재등장할 수 있다. 이번 사례와 같이 게시물을 열어보거나 누리집을 방문하기만 해도 악성코드에 감염되는 것을 예방하기 위해서는 OS 및 주요 애플리케이션의 최신 보안 패치를 적용하는 등 평소 기본적인 보안 수칙을 생활화하는 것이 중요하다.

AhnLab ASEC대응팀 제공