제보글 : https://kone.gg/s/somisoft/a61GsWRilmKFfZYj2c2j0b (감사합니다)
발견 시점 : 26년 4월초 F95 스레드 ( https://www.anime-sharing.com/threads/psa-malware-detected-from-members-upload.1847789/page-8 )
연초 멀웨어보다 더 위험한 다른 멀웨어입니다.
이번 건은 단순 채굴 수준이 아니라 RAT (Remote Access Trojan) 입니다.
감염 시 개인정보 유출 위험이 있습니다. (비밀번호고 파일이고 다 털릴수 있다는 뜻)
⚠️ Disclaimer ⚠️
1. 검사 스크립트
관리자 권한으로 실행합니다. F95 스레드 내용 기반으로 알려진 감염 지표들을 검사합니다.
결과로는
- CRITICAL/HIGH: 감염 가능성 매우매우매우 높음
- MEDIUM: 다른 지표 추가 확인 필요
- LOW: 단독 발견 시 정상일 가능성도 있음
- CLEAN: 클-린
정도로 생각하시면 됩니다.
2. 감염시 대처 방법
아직 없습니다. 윈도우 재설치를 권장합니다.
1) 저도 샘플이 있는 상황이 아니고 (ㅠㅠ),
2) 아직 커뮤니티에 의해 분석이 되고 있는 상황이고,
3) 변종에, 외부 페이로드에.. 어떻게 동작하고 있는지 감히 예측하기 어려운 상황입니다.
윈도우 재설치를 강력히 권장드립니다.
3. 멀웨어 동작에 대한 설명
간단히 요약하면 외부와 통신하며, 여러분들의 키보드 입력을 가로채고, 원격으로 컴퓨터를 조종할 수 있습니다.
1) 악성 Game.exe와 .ogg 음성 파일로 위장된 DLL이 포함된 게임이 배포되어, 게임 실행 시 사이드로딩됩니다.
2) Powershell 스크립트가 실행되며 1일 후에 활성화됩니다.
3) AES 암호화된 페이로드를 외부 서버에서 받아옵니다.
4) COM 하이재킹으로 부팅 시 자동 로드되어 지속적으로 활성화를 유지합니다.
5) 현재의 페이로드로는 키로거 + C2 서버 통신 + RCE를 수행할 수 있습니다.
멀웨어의 수준은 저번 채굴 멀웨어가 높으나, 위험도는 이번 멀웨어가 훨씬 높습니다.
요새 게임을 통한 멀웨어 배포가 잦아지고 있는 시점인 것 같습니다.
아마 이번건은 토렌트를 통한 배포이기 때문에 우리쪽에는 감염 사례가 없지 않을까 싶습니다만 아무쪼록 조심하시기 바랍니다..ㅠㅅㅠ
