이스트시큐리티 ESRC 측은 “어벤저스 엔드게임 영화가 영화관에서 내려가는 시점에서 영화를 보고 싶은 사용자들이 토렌트로 영상을 검색할 것을 염두에 두고 해당 피싱 파일을 유포한 것으로 추측한다”고 설명했다.
이번에 발견된 악성 파일은 "Avengers Endgame.2019-1080p.FHDRip.H264.AAC-RTM rcs.torrent"라는 이름으로 유포되었으며, 토렌트 파일인 것처럼 위장했지만 실제로는 악성 실행파일이다. 공격자는 유니코드 확장자 변조 기능을 사용해 확장자를 다른 형태로 보이도록 변조했다.
파일 속성값에서 상세 내용을 확인해 보지 않는다면, 일반 사용자들은 해당 파일을 토렌트 파일로 착각해 쉽게 악성코드에 감염될 수 있어 주의해야 한다.
이번에 발견된 어벤저스 엔드게임 파일은 실제는 exe scr 파일이지만, 공격자는 유니코드 확장자 변조 기법을 사용해 "rcs.torrent"로 확장자를 변경했다. 토렌토 파일로 위장된 악성 코드가 실행되면 악성코드를 드롭한다.
드롭된 악성코드는 ‘Bladabindi’ 악성코드로 자기 자신을 자동 실행하도록 등록한 후, 키로깅 및 봇 기능을 수행한다.
봇 기능 중 주요한 행위로는 가상 화폐 지갑 탈취, 클립보드 데이터 탈취, 랜섬웨어 실행, Slowloris DDoS 공격 수행 등 다양한 기능이 있다.
봇 기능 중 랜섬웨어와 Slowloris DDoS 공격을 수행하는 코드로 전달받은 명령어에 따라 사용자의 파일을 암호화하거나 다른 호스트에 Slowloris DDoS 공격을 수행한다.
현재 알약에서는 해당 악성파일에 대해 'Trojan.MSIL.Bladabindi'로 탐지 중이다.
★정보보안 대표 미디어 데일리시큐!★