​

접속시자동으로파일이다운로드되는도박사이트가발견되어사용자들의주의가필요합니다.

해당 홈페이지들은 사행성 도박게임을 할 수 있는 홈페이지로, 다수의 홈페이지에서 동일한 betman 토토 내려오는 것이 확인되었습니다.

해당 betman 토토은 iframe으로 페이지 내 삽입되어 있으며, 자동으로 내려온 vcredist_2010.exe betman 토토을 실행하면 추가로 RuntimeBroker.exe betman 토토을 C:\Windows\SysWOW64폴더 하위에 저장하고 자동으로 실행합니다.

자동으로 실행 된 RuntimeBroker.exe 파일은 컴퓨터 명, IP, MAC주소, 현재 상태 등을 포함하여 서버에 주기적으로 전송합니다. 또한 추가로 파일 다운로드를 시도하나 공격자의 서버 문제로 해당 파일에 대해 확인은 불가하였습니다.

해당 betman 토토은 현재 사용자가 진행하는 게임 파악 및 사용자 상태 로그 수집 목적으로 확인됩니다.

하지만, 공격자가 해당 betman 토토을 이용하여 사용자 PC에 추가적으로 betman 토토을 설치 할 수 있어 향후 악성행위를 할 가능성이 있어 사용자들의 주의가 필요합니다.

현재 알약에서는 해당 betman 토토들에 대해Trojan.Dropper.MSIL, Spyware.Infostealer.RedLine로 탐지중에 있습니다.