파일공유 사이트에 업로드 된 윈도우 불법 인증 툴 위장 악성파일. 출처=안랩
파일공유 사이트에 업로드 된 윈도우 불법 인증 툴 위장 악성파일. 출처=안랩

국내 보안 업체 안랩은 최근 윈도우 불법 인증 툴로 위장해 사용자 몰래 가상자산 채굴을 하는 악성코드가 유포되고 있다고 18일 경고했다.

안랩에 따르면, 이번에 발견된 불법 인증 툴은 윈도우의 정품 인증을 위한 프로그램으로 위장한 것으로, 국내 다수의 파일 공유 사이트에서 ‘KMS Tools’, ‘KMS Tools Portable’ 등의 제목으로 유포되고 있다.

압축파일 내부에 존재하는 악성 실행파일. 출처=안랩
압축파일 내부에 존재하는 악성 실행파일. 출처=안랩

만일 사용자가 다운로드 한 파일의 압축을 해제한 뒤 내부 파일(KMS Tools Unpack.exe)을 실행하면, 원격제어 악성코드 ‘BitRAT’가 외부 다운로드 방식으로 추가 설치된다. BitRAT는 감염 PC에 백도어 프로그램 등을 설치해 내부 정보를 탈취하는 역할을 한다.

이재진 안랩 분석팀 주임연구원은 “공격자는 앞으로 파일의 이름을 바꿔 다양한 파일공유 사이트에서 유사한 공격을 이어갈 것으로 예상된다"며 “사용자는 반드시 공식 경로로 콘텐츠를 이용해야 한다”고 당부했다.

제보, 보도자료는 contact@coindeskkorea.com
저작권자 © 코인데스크코리아 무단전재 및 재배포 금지