구글 드라이브에 저장된 비밀번호 도용 악성코드가 온라인에서 스팀 사용자에게 전달됨

구글 드라이브에 저장된 비밀번호 도용 악성코드가 온라인에서 스팀 사용자에게 전달됨

스팀 사용자들의 자격 증명을 훔치려는 악성코드가 최근 등장했습니다. 이 악성코드는 서비스의 채팅 기능을 통해 퍼지고 있습니다.

사용자에게 인터넷에서 제공되는 단축 서비스로 단축된 링크를 클릭하라고 요청합니다.

사용자가 클릭하면 구글 드라이브에 저장된 파일로 리디렉션됩니다. 이 파일은 이미지 파일처럼 보이며, 이미지 아이콘이 있습니다. 그러나 이 파일은 실제로 실행 파일이며 실행되면 스팀 자격 증명을 훔칩니다.

목차

• 명백한 공격
• 분명히 너무 명백함

명백한 공격

악성코드에 익숙하다면 이 과정은 가장 명백한 속임수처럼 들렸을 것입니다.

그것이 바로 그렇기 때문입니다. 하지만 우리가 이를 보고하고 있다는 것은 때때로 가장 명백한 공격조차도 피해자를 만들 수 있음을 보여줍니다. 대부분의 게이머는 이러한 악성코드 공격에 대해 알고 있으며, 악성 사이트에서 멀리 떨어져 있도록 항상 경계를 유지합니다.

하지만 때때로 사람들은 이 경우처럼 피해자가 되기도 합니다.

위에서 언급했듯이, 대부분의 게이머는 채팅에서 유포되는 악성코드가 포함된 링크에 대해 알고 있습니다. 많은 경우 이 링크는 스팀 채팅에서 농담의 대상이 되며, 많은 게이머가 이를 알고 있습니다. 여기 그 중 하나의 예가 있습니다.

Panda Security의 악성코드 연구원인 Bart Blaze는 샘플을 분석하고 일요일 블로그 게시물에서 기술 개요를 제공하며, 악성 링크가 구글 드라이브에서 화면 보호기 파일(SCR 확장자)을 다운로드하도록 진행된다고 설명합니다. 이 SCR 파일은 그림인 척하며 파일 아이콘으로 이미지를 가지고 있습니다.

“보통 구글 드라이브 뷰어 애플리케이션이 표시되며, 이를 통해 .scr 파일을 다운로드할 수 있습니다. 이 경우 링크에 ‘&confirm=no_antivirus’ 문자열이 추가되어 파일이 즉시 실행 또는 저장할 것인지 묻는 팝업이 뜹니다. (일부 경우 자동으로 다운로드되기도 합니다),”라고 그는 씁니다.

분명히 너무 명백함

이제 좋은 소식입니다. 이 공격은 너무 잘 알려져 있어서 대부분의 사용 가능한 안티바이러스가 이를 방어하는 것으로 알려져 있습니다.

대부분의 신뢰할 수 있는 안티바이러스 솔루션은 이를 탐지하고 컴퓨터에서 다운로드를 방지합니다. VirusTotal의 55개 안티바이러스 엔진 중 37개는 즉시 격리하는 데 문제가 없습니다.

연구원의 분석에 따르면, 이 악성코드는 체코 공화국에 호스팅된 서버에 연결되며, 도난당한 정보가 아마도 업로드됩니다.

이 위협을 통해 스팀 계정 로그인 정보가 손상된 징후는 시스템에서 “temp.exe,” “wrrrrrrrrrrrr.exe,” “vv.exe” 또는 무작위 이름의 프로세스가 실행되고 있는 것입니다; 이는 작업 관리자를 통해 확인할 수 있습니다.

이 악성코드에 대한 조치는 취해지지 않은 것으로 보이며, 파일은 여전히 구글의 클라우드 스토리지 서비스에 존재합니다. 이것이 스팀 사용자들이 이를 합법적으로 생각하고 악성코드의 피해자가 될 수 있는 유일한 이유입니다.