게임 공략 더킹+카지노부터 이어지는 악성코드 유포 주의

최근 유명 국내 게임 공략 더킹+카지노 게시판에서 원격제어 기능과 MBR 파괴 기능이 있는 악성코드가 유포되어 주의를 당부 드립니다.

악성코드가 유포되는 사이트 게시판에는 실제 게임과 관련 없는 내용으로 영화와 성인더킹+카지노 위장 된 링크를 기재하여 게시판 사용자들의 클릭을 유도하고 있습니다.

[그림 1] 게임 공략 더킹+카지노에 기재된 게시글 이미지

취약한 윈도우 및 소프트웨어를 사용 중인 게시판 사용자가 호기심에 해당 더킹+카지노를 클릭 할 경우 Drive By Download 기법에 의해 악성코드가 다운로드 및 실행 될 수 있습니다.

이스트시큐리티 악성코드 위협 대응 솔루션 Threat Inside(쓰렛인사이드)에 분석 된 데이터에 의하면 2018년 08월 27일 09시에 해당 사이트에서 최초 악성코드가 발견 되었으며, CK VIP(KaiXin) 익스플로잇 킷 공격도구로 만들어진 더킹+카지노 확인이 되었습니다.

또한 이 사이트에는 CVE-2018-8174 VB스크립트 취약점, CVE-2016-7201 엣지 브라우저 취약점 등을 포함하여 총 7가지 취약점 공격으로 이루어져 있습니다. 

쓰렛인사이드에서는 해당 더킹+카지노에서 사용 된 CK VIP(KaiXin) 익스플로잇 킷을 상세 분석하여 사용 된 취약점 리스트를 볼 수 있습니다.

[그림 2] CK VIP(KaiXin) 익스플로잇 분석 흐름도 이미지

취약한 사용자가 접속 할 경우 다운로드 및 실행되는 악성더킹+카지노는 PC정보 전달, 계정설정, 파일삭제, 다운로드 등의 기능을 가진 원격제어 악성더킹+카지노(RAT)로써 아래의 기능들을 수행 할 수 있습니다.

[그림 3] 원격 제어 악성더킹+카지노 기능 이미지

악성 행위 중 C&C 명령에 따라 MBR(마스터부트레더킹+카지노)를 파괴하는 기능까지 존재하여 사용자들의 각별한 주의가 필요합니다.

[그림 4] MBR 영역에 문자열을 삽입 시키는 더킹+카지노 이미지

이러한 악성코드에 감염되지 않기 위해서는 출처가 불분명한 링크 혹은 더킹+카지노에 접속하지 않아야 합니다. 또한 윈도우 보안 업데이트를 포함한 각종 어플리케이션 업데이트를 항상 최신으로 유지하는 보안 습관을 준수하시길 당부 드립니다.

통합 백신 ‘알약’에서는 관련 악성더킹+카지노를 'Trojan.Agent.259584K’, ‘Trojan.Agent.Injector.273920' 로 진단하고 있습니다.