‘XX이 협박용’ 토토 가입 머니 가진 악성코드 주의

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

최근‘XX이 협박용’이라는 토토 가입 머니 가진 악성코드가 발견되어이용자들의 주의를 당부 드립니다.

이번에 발견된'XX이 협박용.scr' 토토 가입 머니를 실행하면 'C:\Users\(사용자 계정)\APPDATA\' 경로에'LocalDQhZjmCUTx.exe' PE 토토 가입 머니과'LocalZaMiXJBzqg.mp4'동영상 토토 가입 머니을 드롭 및 실행합니다. 공격자는 다음의동영상 화면을 통해 PE 토토 가입 머니 실행을 숨기려한 것으로 보여집니다.

[그림 1]LocalZaMiXJBzqg.mp4'동영상 토토 가입 머니 재생 화면

토토 가입 머니실행 및 드롭 코드는 아래와 같습니다.

[그림 2] 토토 가입 머니 드롭 및 실행 코드

드롭되어 실행되는 'LocalDQhZjmCUTx.exe' PE 토토 가입 머니은 닷넷으로 제작된 'njRAT'와 유사하며,jongttttt.codns.com (221.164.241.219)에 접속합니다. 또한 키로킹, 웹캠 액세스 등의 다양한 토토 가입 머니 기능을 포함하고 있어, 감염 시 정보 유출 등의 피해가 발생할 수 있습니다.

[그림 3] 키로깅 코드 중 일부

따라서 악성코드에 감염이 되지 않기 위해서는 검증되지 않은 토토 가입 머니을실행하기 전, 백신 프로그램을 이용하여 토토 가입 머니 여부 검사를 수행해주시기 바랍니다.

현재 알약에서 관련 토토 가입 머니를‘Trojan.Dropper.4729344B’, 'Trojan.Agent.921600', 'Trojan.Dropper.2023424C'로 진단하고 있습니다.