포트나이트 플레이어 표적 삼는 암호화폐 탈취 랜섬웨어 발견

등록 : 2019년 8월 27일 15:00 | 수정 : 2019년 8월 29일 14:57

출처=셔터스톡

암호화폐를 지불하지 않으면 이용자의 모든 폴더를 삭제시키는 신종 랜섬웨어가 등장했다. 시어크(Syrk)라는 이름의 ‘히든 크라이’ 오픈 소스 프로그램에 기반한 멀웨어로, 암호화 파일을 하드 드라이브에 심는 방식으로 작동한다. 히든 크라이는 지난해 12월 처음 온라인에 모습을 드러냈다.

포트나이트 랜섬웨어 시어크. 출처=Cyren

2억5천만명에 이르는 포트나이트 이용자들은 이같은 부류의 멀웨어에 온상을 제공하고 있다.

보안 기업 벡트라(Vectra)의 보안분석 책임자인 크리스 모렐리스는 “게임 멀웨어와 랜섬웨어의 결합은 충분히 예상 가능한 일이었다”라고 말했다.

“한동안 온라인 비디오게임을 통한 소셜 엔지니어링이 이뤄져 왔다. 비디오 게임 게이머들은 표적으로 삼기 좋은 대규모 집단인데다, 언제나 ‘지름길’을 찾으려 한다. ‘꿀팁’을 위한 툴로 위장한 멀웨어는 신통하게도 어떤 앱스토어로부터도 검증받지 않은 채 일반적인 보안 제어 시스템을 우회한다. 이는 게임 꿀팁을 활용한 암호화 파일의 침투와 실행을 쉽게 만든다.” -크리스 모렐리스 벡트라 보안분석헤드

시어크는 게임을 위한 치팅 앱으로 위장해 포트나이트 유저에게 접근한다. 시어크 멀웨어는 ‘SydneyFortniteHacks.exe’라는 이름의 파일 형태를 하고 있다. 이 파일을 실행할 경우 해당 앱은 이용자의 하드드라이브와 USB드라이브에 암호화 파일을 설치한다. 암호화폐로 비용을 지불하지 않을 경우, 이용자의 드라이브에서 중요한 폴더를 하나씩 삭제하기 시작한다. 그 마지막은 ‘문서 폴더’다.

“다음 단계로 시어크는 일정 시간 동안 아래에 나열된 디렉토리에서 암호화 파일 실행을 시도하고 삭제하는 절차를 세팅할 것이다. 다음 순서에 따라 매 두 시간마다 파일이 삭제된다. %userprofile%\Pictures; %userprofile%\Desktop; and %userprofile%\Documents” -벡트라 연구진

다행히도 시어크 멀웨어는 이미 보고된 적 있는 공격 벡터에 기반한 것으로 피하는 것이 어렵지 않다. 피해자들은 드라이브에서 텍스트 파일 몇 개를 찾아 멀웨어를 쉽게 해제할 수 있다. 멀웨어 해제에 필요한 텍스트 파일에는 이용자 드라이브의 파일을 삭제하기 전에 랜섬웨어를 중단시킬 수 있는 암호가 기록돼 있다. 이를 통해 다량의 암호화폐를 쏟아붓지 않고서도 컴퓨터를 지킬 수 있다.

번역: 정인선/코인데스크코리아

각종 제보 및 보도자료는 contact@coindeskkorea.com 으로 보내주세요.

This story originally appeared on CoinDesk, the global leader in blockchain news and publisher of the Bitcoin Price Index. view BPI.