[보안뉴스 권 준 기자] 최근 정보 탈취형 악성코드가 유튜브를 통해 유포 중인 것으로 확인됐다. 공격자는 발로란트 게임 핵을 위장해 동영상을 업로드 했고, 바이러스 백신을 끄고 설치하라는 설명과 함게 악성코드의 다운로드 링크를 삽입한 것으로 드러났다.

안랩 ASEC 분석팀에 따르면 유튜브를 경로로 게임 핵이나 크랙을 위장하여 유포되는 사례는 종종 발견돼 왔는데, 최근 발견된 정보 탈취형 악성코드는 발로란트 게임 핵 동영상으로 위장해 악성코드의 다운로드를 유도하고 있다.

만약 사용자들이 발로란트 게임 핵 프로그램을 다운로드 받기 위해 해당 링크를 클릭할 경우 이래와 같은 다운로드 페이지를 확인할 수 있다. 다운로드된 ‘Pluto Valornt cheat.rar’ 압축 파일에는 ‘Cheat installer.exe’라는 실행 파일이 포함되어 있는데, 이름은 게임 핵을 위장하고 있지만 실제로는 정보 탈취형 악성코드로 분석됐다.

해당 악성코드가 실행되면 감염 시스템의 기본 정보들을 포함해 스크린샷, 웹 브라우저 및 VPN 클라이언트 프로그램들에 저장된 사용자 계정 정보, 가상화폐 지갑 파일들, 그리고 디스코드 토큰 및 텔레그램 세션 파일들과 같은 다양한 사용자 정보들을 수집한다.

공격자는 이렇게 탈취한 정보들을 파일 형태로 생성한 후, 압축해 디스코드 WebHooks API를 통해 전달하는 것으로 나타났다. WebHook API를 이용하면 특정한 디스코드 서버에 데이터와 함께 알림을 전달할 수 있다. 즉, 악성코드는 WebHook URL을 통해 탈취한 정보가 포함된 압축 파일을 첨부해 POST를 요청하며, 공격자는 디스코드 서버에서 알림과 함께 탈취한 정보를 전달받을 수 있다.

안랩 ASEC 분석팀 측은 “수많은 사람들이 사용하는 유튜브를 비롯해 다양한 플랫폼을 통해 악성코드가 설치될 수 있기 때문에 불법 프로그램을 다운로드 받는 행위를 지양해야 하는 것은 물론 정품 소프트웨어 사용을 생활화하고 의심스러운 웹사이트나 P2P 이용은 자제해야 한다”며, “또한, V3 등 바이러스 백신을 최신 버전으로 업데이트해 악성코드 감염을 사전에 차단할 수 있도록 신경써야 한다”고 당부했다.