국내 대형 커뮤니티 사이트, 셀카 유출 압축파일 위장한 GoBot2 악성코드 유포
악성코드 감염 PC, 공격자가 안티바이러스 이름·CPU·GPU·시스템 정보 등 체크

[보안뉴스 김경애 기자] 최근 국내 대형 커뮤니티 사이트 1곳에서 GoBot2 악성코드가 지속적으로 유포되고 있는 것으로 드러났다.


GoBot2는 봇넷의 종류인 GoBot의 두 번째 버전으로 추측되며, 해당 봇넷은 명령제어 서버로부터 받은 악성행위를 수행해 감염 PC를 좀비 PC로 만드는 것으로 알려졌다.

이와 관련 보안전문 파워 블로거 ‘벌새’는 “Go 언어로 제작돼 GitHub에 GoBot2 소스가 공개된 상태며, 해당 봇넷의 기능은 GitHub에서 확인할 수 있다”며 “악성코드는 특정 커뮤니티 사이트의 각종 게시판에 ZIP 압축파일에 동봉된 분실폰셀카 사진을 볼 수 있다는 대량의 게시글 형태로 유포되고 있다”고 밝혔다.

세부적으로 살펴보면 게시글에 포함된 셀카 유출.zip 링크를 클릭할 경우 해외 단축 URL 서비스(ipsite.org)로 연결된다. 이를 통해 최종적으로 구글(Google)에 업로드되어 있는 ZIP 압축 파일(여고생유출텀블러.zip)이 다운로드되는 방식이다.

ZIP 압축 파일 해제 후 윈도우 탐색기(기본 설정값)를 통해 확인해 보면 4개의 음란성 여성 사진과 함께 thumb.mp4 파일이 보인다. 하지만 thumb.mp4 파일 크기는 2,163 바이트(Bytes)이며 동영상 파일이 아닌 바로 가기(.lnk) 파일이다.

이용자가 동영상 파일로 착각하고 해제된 압축파일의 바로 가기 파일을 실행하면 겉으로는 분실폰 셀카 사진을 보여주는 것처럼 속이지만 실제로는 악성행위를 실행하는 것이다.

악성행위는 레지스트리 값을 추가해 GoBot2 설치 정보를 기록하고, 시작 프로그램 등록 레지스트리 값과 파일 속성값이 수정되지 않도록 지속적으로 반복적인 등록 행위를 수행한다. 또한, ServiceHelper.exe 실행 파일은 악의적인 기능을 수행하는 .exe 파일이 종료되지 않도록 프로세스 보호 기능을 담당하게 된다.

이에 대해 벌새는 “‘checkip.amazonaws.com’ 서비스를 통해 감염자 PC의 IP 정보를 체크하고, 국내(IP)로 확인되는 특정 명령제어(C&C) 서버와 암호화 통신을 시도하는 것을 확인할 수 있다”며 “통신 내역을 확인해보면 특정 C&C 서버와의 지속적인 통신을 통해 감염된 정보를 체크하는 것으로 보인다”고 분석했다.

특히, 감염된 PC는 설치된 안티 바이러스 프로그램 이름, CPU 정보, GPU 정보, 시스템 정보, 네트워크 구성 정보, 와이파이(Wi-Fi) 정보 등을 체크하는 것으로 파악됐다. 이를 통해 공격자는 C&C 서버에 명령을 내려 감염된 PC에서의 스크린 샷 및 키로거(Keylogger) 정보 수집을 통한 정보 유출, 디도스 공격, 관리자 권한 획득 등 다양한 악성 행위를 수행할 수 있게 된다.

▲C&C 서버 호스팅 등록 정보 화면[이미지=보안뉴스]

한 보안전문가는 “해당 커뮤니티 사이트에서 유포하는 악성코드는 사용자명 yXX news로 악성코드를 업로드하고, jXXXsupport.site에서 명령제어를 받는다”며 “국내 호스팅 업체에 등록된 도메인이고 이메일 주소도 포착됐다”고 밝혔다.

더욱 심각한 문제는 이러한 유형의 악성코드가 지속적으로 유포됐다는 점이다. 지난 23일 오전 9시 8분경에는 공격자가 백X, 황XX, 국XXX 등의 셀카 사진으로 위장해 악성코드를 유포한 정황이 탐지됐다. 21일에도 ‘양XX 출사’란 제목의 음란사진을 사칭해 유포됐으며, 같은 날 ‘개인소장 유출사진’이라는 제목으로 여러 개의 악성파일이 올라왔다. 이 역시 겉으로 보기엔 압축파일 사진으로 보이지만 실제로는 악성행위를 하는 악성파일이다.

이와 관련 보안전문가는 “해커는 오래 전부터 악성코드를 유포하고 있었을 것으로 추정된다”며 “해커를 추적할 수 있는 정보를 많이 노출시킨 만큼 빠르게 검거해 더 이상의 피해자가 생기지 않도록 해야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>