[긴급] 웹하드에서 게임설치 파일 위장한 모네로 코인 마이너 악성코드 유포중

개요	- 공격자는 웹하드를 이용해 게임이나 게임 크랙 등 불법 프로그램과 함께 악성코드 유포 - 주로 RAT 악성코드를 유표(njRAT, UdpRAT, DDoS IRC Bot 등)
특징	- 최근 웹하드에 게임 설치 파일로 위장해 업로드 된 압축 파일을 통해 XMRig 모네로 코인 마이너를 유포하는 사례가 확인 * 코인 마이너 : 사용자 PC에 설치되어 시스템 리소스를 이용해 가상화폐를 채굴하는 악성코드 - 다운로드한 파일을 압축해제 시 게임 아이콘으로 위장한 raksasi.exe 프로그램이 실행 - 해당 파일은 XMRig 모네로 코인 마이너를 설치하는 악성코드 - 실제 게임 설치파일은 다른 폴더에 존재 - 컴퓨터가 재부팅할 때마다 동일 경로(‘c:\Xcrcure\’ 경로)에 존재하는 config.json 파일을 읽으며 마이닝을 수행 <동작> - 간단한 구조로 ‘c:\Xcrcure\’ 경로에 다음 파일을 설치   모네로 채굴 악성코드(xmrig.exe), XMRig 설정 파일(config.json), XMRig 런쳐 악성코드(MsDtsServer.exe) - 시작 폴더에 XMRig 런쳐 악성코드를 실행하는 바로가기를 ‘NewStartUp.lnk’라는 이름을 생성해 재부팅한 후 모네로 채굴 마이너를 동작시킴. - Resource 폴더에 존재하는 원본 게임 프로그램을 실행해 정상적으로 게임이 동작하는 것처럼 인식시킴.
대응	- 웹하드, P2P 사이트 등에서 다운한 실행 파일은 각별히 주의 - 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드를 권장

 

- 보안뉴스

[긴급] 웹하드에서 게임설치 파일 위장한 모네로 코인 마이너 악성코드 유포중