유럽의 엔드포인트 보안 전문 업체 ESET(이셋)의 국내 대표 법인 이셋코리아 (대표: 김남욱, http://www.estc.co.kr)는
한국 TV 콘텐츠를 통해 확산되는 백도어가 발견되었으므로 사용자의 각별한 주의를 요한다고 전했다.

 


이번에 발견된 백도어에 감염된 컴퓨터는 공격자에 의해 원격으로 제어할 수 있게 되는데, GoBot2 라는 공개 백도어에 탐지를 회피하기 위한 내용이 추가된 수정된 버전이다. GoBot2 백도어는 분실폰 셀카 사진, 음란 동영상 등으로 위장하여 많은 사용자들에게 피해를 입힌 것으로 알려져 있다. ESET 은 이번에 발견된 백도어를 Win64/GoBot2 의 변형인 GoBotKR 로 명명하였다. ESET 의 분석에 따르면 GoBotKR 은 2018 년 3 월부터 활동해 왔으며, 한국을 비록하여 중국, 대만 등 한류의 인기가 높은 국가에서 많이 발견되었다.


GoBotKR 은 한국 영화 및 TV 쇼 게임 등으로 가장하여 한국과 중국의 토렌트 사이트를 통해 주로 확산되고 있는데, 다음과 같이 사용자를 유혹하는 비디오 파일명, 확장자 및 아이콘을 가진 악성 파일을 사용하여 사용자가 악성코드를 실행하도록 유도한다.

1) 사용자를 유혹하는 MP4 파일
2) 다양한 코덱 인스톨러로 위장한 PMA 아카이브 파일에 숨겨진 악성코드
3) 비디오로 사칭하는 파일 이름과 아이콘을 가진 악의적인 바로가기 링크 파일


비디오 파일을 클릭하는 것만으로 악성코드에 감염되지는 않지만, PMA 파일을 실행한다거나 바로가기 링크를 클릭하면 즉시 악성코드에 감염되어 피해가 발생할 수 있다.


이셋코리아의 김남욱 대표는 "한류 열풍에 힘 입어 한국 드라마나 쇼 프로그램이 세계적인 인기를 끌고 있음을 이용한 악성코드가 발견됨에 따라 토렌트 등으로 통한 한류 컨텐츠의 다운로드에 각별한 주의가 필요합니다. 또한, 이번에 발견된 악성코드는 공격자의 IP 주소가 블랙리스트에 등록된 몇몇 보안 제품이나 포털을 이용하는 경우 자동으로 실행을 종료함으로써 탐지를 회피하고 있기 때문에 발견이 어려울 수도 있습니다. 피해를 예방하기 위해서는 적법하지 않은 컨텐츠 다운로드를 자제해야 하며, 신뢰할 수 있는 보안 제품을 사용함으로써 악성코드 감염을 사전에 차단해야 합니다.” 고 전했다.

 

 

사업자 정보 표시
ESET KOREA operated by ESTC | 정형래 | 서울시 강남구 논현로 406 요경빌딩 4층 | 사업자 등록번호 : 264-81-44862 | TEL : 070-7839-0510 | Mail : sales@estc.co.kr | 통신판매신고번호 : 제2015-서울서초-0624호 | 사이버몰의 이용약관 바로가기
블로그 이미지

이셋코리아

안전한 기술을 즐기는 ESET KOREA operated by ESTC 공식 블로그입니다.

댓글을 달아 주세요