침해사고/위협동향

은밀히 퍼져가는 ‘채굴 봇’ 악성코드··· ‘디스코드’ 유통 경로로 활용

이종현

[디지털데일리 이종현기자] 암호화폐 가격이 요동치는 가운데 PC 등을 암호화폐 채굴 봇(Bot)으로 만드는 악성코드가 은밀히 유포되고 있다. 게이머들이 주로 사용하는 채팅 서비스 ‘디스코드’가 주요 유포처로 활용되고 있다.

18일 안랩 시큐리티대응센터(ASEC) 분석팀은 국내에 유포 중인 악성코드를 모니터링하던 중 디스코드 메신저를 통해 채굴 악성코드가 유포 중인 것을 확인했다고 밝혔다.

공격자는 ‘로블록스’라는 게임의 화폐인 ‘로벅스’를 무료로 생성해주는 프로그램이라며 악성코드가 담긴 압축파일을 배포하고 있다. 압축파일 내 ‘robux free tool.exe’라는 실행 파일이 악성코드 동작 파일이다. 실행시 에러 메시지를 출력하나 실제로는 ‘확인’ 및 ‘X’를 클릭해도 악성 행위가 수행되는 방식이다.

이는 샌드박스(SandBox) 환경을 우회하기 위한 수단이다. 메시지 박스를 클릭하지 않는 이상 악성행위가 수행되지 못하기 때문에 샌드박스와 같은 자동 분석 환경에서 행위를 감출 수 있다.

실행 파일을 통해 최종 설치되는 악성파일은 마이크로소프트(MS) 윈도의 백신 프로그램 ‘윈도 디펜더’를 비활성화할 수 있는 ‘dc.exe’와 이더리움 코인을 채굴토록 하는 악성코드 ‘lol.exe’ 등이다.

안랩 ASEC 관계자는 “공격자는 게임 핵을 공유하는 디스코드 서버에서 채굴 악성코드를 게임 핵으로 위장해 유포하고 있다. 이렇게 유포되는 악성코드는 사용자의 시스템에 마이너 악성코드를 설치하고 있다”며 “사용자들은 이러한 불법 프로그램들을 알려지지 않은 출처에서 설치하는 행위를 자제해야 한다”고 조언했다.

이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널