CWN(CHANGE WITH NEWS) - 사이버 보안 전문가, 슈퍼마리오 게임 설치 프로그램 이용한 멀웨어 유포 사례 발견…윈도 기기 정보 탈취 위험성 경고

슈퍼마리오 시리즈 게임의 인기를 악용한 사이버 공격 위험이 감지됐다.

사이버 보안 전문 매체 블리핑컴퓨터는 보연 연구원 사이블(Cyble) 연구팀이 트로이 목마가 숨겨진 ‘슈퍼마리오 3: 마리오 포에버(Super Mario 3: Mario Forever)’ 설치 프로그램 때문에 윈도 기기에서 멀웨어 감염 위험성이 보고된 사실을 보도했다.

연구팀이 발견한 설치 프로그램은 위협 행위자가 알 수 없는 채널을 통해 자동 압축 해제 아카이브 실행 파일로 배포된 것으로 알려졌다. 트로이 목마에 감염된 게임은 게임 포럼, 소셜 미디어 그룹 홍보, 멀웨어를 숨긴 온라인 광고 등을 통해 사용자에게 접근했다.

트로이 목마가 숨겨진 아카이브에는 정상적인 마리오 게임 설치 실행 파일 하나와 게임 설치 중에 피해자의 앱 데이터 디렉터리에 몰래 설치되는 "java.exe" 및 "atom.exe" 실행 파일로 구성되었다.

디스크에 악성 실행 파일이 있을 때, 설치 프로그램이 악성 파일을 실행하면서 가상자산 모네로(Monero, XMR) 채굴기와 슈프림봇(SupremeBot) 채굴 클라이언트를 실행한다.

피해자 기기에 몰래 설치되는 java.exe 파일은 모네로 채굴기로, 피해자의 하드웨어 정보를 수집한 뒤 gulf[.]moneroocean[.]stream에 있는 채굴 서버에 연결하여 채굴을 시작한다.

java.exe 파일과 함께 설치되는 atom.exe 파일은 자체적으로 복사본을 생서하고, 게임 설치 디렉터리의 숨겨진 폴더에 복사본을 배치한다. 이후 15분 간격으로 무한정 실행되는 복사본 실행 예약 작업을 생성하여 합법적인 프로세스의 이름으로 멀웨어 감지를 피한다.

초기 프로세스가 종료되고 원본 파일이 삭제되어 탐지를 피한다. 그다음 악성코드는 C2 연결을 설정하여 정보를 전송하여 클라이언트를 등록하고, 채굴 구성을 수신하여 모네로 채굴을 시작한다.

마지막으로 슈프림봇이 C2에서 추가 페이로드를 검색하여 "wime.exe"라는 실행 파일에 도달한다.

최종 파일인 엄브럴 스틸러(Umbral Stealer)는 2023년 4월부터 깃허브에서 사용이 허용된 오픈소스 C# 정보 탈취 툴이다. 엄브럴 스틸러는 트로이 목마화된 ‘슈퍼마리오 3: 마리오 포에버’ 설치 프로그램 탓에 멀웨어에 감염된 윈도 기기에서 데이터를 탈취한다. 지금까지 탈취된 데이터에는 세션 토큰, 암호화폐 지갑이 포함된 저장된 비밀번호와 쿠키, 디스코드(Discord), 마인크래프트, 로블록스, 텔레그램의 자격 증명 및 인증 토큰 등이 포함된 것으로 확인됐다.

사이블 연구팀은 최근 ‘슈퍼마리오 3: 마리오 포에버’ 설치 프로그램을 내려받은 사용자에게 컴퓨터에 설치된 멀웨어를 검사하고 탐지된 멀웨어를 모두 제거해야 한다고 경고했다. 또, 사용 중인 기기에서 멀웨어를 발견한 사용자에게는 은행, 금융, 암호화폐, 이메일 사이트 등 민감한 사이트의 비밀번호를 재설정할 것을 당부했다.

또한 게임이나 소프트웨어를 다운로드할 때는 반드시 퍼블리셔의 웹사이트나 신뢰할 수 있는 디지털 콘텐츠 배포 플랫폼과 같은 공식 출처에서 다운로드해야 한다는 점도 덧붙여 전했다.

[ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]