인기 높은 게임 슈퍼마리오의 윈도용 설치파일을 아무데서나 받아서 실행했다가는 낭패를 보게 된다. 최근 공격자들이 설치파일에 자신들의 공격 도구를 덧붙여 배포하고 있기 때문이다. 보안 위생 습관을 기업 차원에서 철저히 다져둘 필요가 있다.
[보안뉴스 문정후 기자] 인기 높은 게임인 ‘슈퍼마리오(Super Mario Bros)’의 정상적인 설치파일을 멀웨어로 변경시킨 공격자들이, 이를 게이머들 사이에 퍼트리는 중이라는 경고가 나왔다. 주로 암호화폐 채굴 코드와 정보 탈취 멀웨어가 이 가짜 슈퍼마리오 설치파일을 통해 유포되는 중이라고 한다. 윈도 환경에서 슈퍼마리오를 하고자 하는 사용자들이 특히 위험할 수 있다.
![[보안뉴스 / 6.28.] 인기 높은 슈퍼마리오 게임의 설치파일, 함부로 다운 받다가는 멀웨어에 감염](http://www.boannews.com/media/upFiles2/2023/06/187874722_9848.jpg)
[이미지 = gettyimagesbank]
보안 업체 사이블(Cyble)의 연구원들이 발견한 바에 의하면 문제가 되고 있는 파일은 ‘슈퍼마리오 3 : 마리오 포에버(Super Mario 3 : Mario Forever)’의 윈도용 설치파일이라고 한다. 이 설치파일에 일부 공격자들이 XMR 채굴 코드나 슈프림봇(SupremeBot)이라는 채굴 클라이언트, 오픈소스 정보 탈취 멀웨어인 엄브랄스틸러(Umbral Stealer)를 덧붙인 채 유포하고 있다고 사이블은 자사 블로그를 통해 공개했다. 재택 근무자들을 다수 운영하고 있거나 개인 장비를 회사 네트워크에 자유롭게 접속시킬 수 있도록 하는 곳에서는 반드시 염두에 두어야 할 현상이라고 할 수 있다.
문제의 파일 이름은 Super-Mario-Bros.exe이다. 여기에는 세 가지 실행파일이 다음과 같이 포함되어 있다.
1) super-mario-forever-v702e : 실제 슈퍼마리오 게임 애플리케이션의 정상 설치파일
2) java.exe : 악성 실행파일로 추가 멀웨어를 가져와 심는다.
3) atom.exe : 악성 실행파일로 추가 멀웨어를 가져와 심는다.
2)번과 3)번 파일을 통해 추가 멀웨어가 심겨지는데, 기업 입장에서 가장 경계해야 할 것은 엄브랄스틸러이다. 가벼운 용량의 정보 탈취 멀웨어이며, C#으로 작성됐다. 지난 4월부터 깃허브를 통해 공개되는 바람에 누구나 무료로 사용할 수 있다. 크리덴셜과 브라우저 내에 저장된 데이터를 주로 훔친다. 브레이브(Brave), 크롬(Chrome), 오페라(Opera), 에지(Edge), 비발디(Vivaldi)와 같은 브라우저들을 공략할 수 있다. 그 외에 화면 캡쳐, 텔레그램 세션 파일, 디스코드 토큰, 로블록스 쿠키, 마인크래프트 세션 파일 등도 훔친다. 암호화폐 지갑 관련 데이터도 수집한다.
게임 설치파일에 멀웨어를 숨겨두는 시도는 이전부터 자주 있어 왔다. 게임 설치파일을 찾는 사람들이 꽤나 많기 때문이고, 설치파일에 대한 신뢰도도 높은 편이기 때문이다. 특히 정상적인 게임의 실제 설치파일이라면 의심할 이유가 거의 없다. 게다가 슈퍼마리오는 수십 년 동안 유명세를 충실히 쌓아온 인기 게임이다. 전 세계 수천만 명이 슈퍼마리오를 알고 해봤으며 좋아한다. 얼마 전에 슈퍼마리오 영화가 나왔다는 것도 공격자들에게는 호재다.
암호화폐 채굴을 위해 게이머들의 컴퓨터를 장악하는 것도 인기 높은 전략이다. 왜냐하면 게임을 실행시키기 위한 하드웨어는 강력한 성능을 자랑할 때가 많기 때문이다. 암호화폐를 채굴할 때도 컴퓨터 성능이 강력하면 강력할수록 도우밍 되는 것으로 알려져 있다.
슈퍼마리오와 함께 오는 채굴 패키지
감염된 설치파일을 다운로드 받은 사용자가 Super-Mario-Bros.exe 파일을 실행시키면 제일 먼저 그 사용자의 컴퓨터 내 appdata 디렉토리에 super-mario-forever-v702e.exe 파일이 저장된 후 실행된다. 정상적인 ‘설치 마법사’가 화면에 나타나고, 실제 게임 설치 과정이 진행된다.
하지만 보이는 게 전부가 아니다. 뒤에서는 java.exe와 atom.exe 파일이 appdata 디렉토리에 저장되고 실행된다. “java.exe 파일의 경우 사실 XMR 채굴 코드이며, 모네로라는 암호화폐를 채굴하기 시작합니다. atom.exe의 경우 엄브랄스틸러를 가져와 심으며, 슈프림봇 채굴 클라이언트로서 작동하기 시작합니다. 공격자는 이 클라이언트에 새로운 임무를 전송할 수 있으며, 채굴 작업 자체를 효과적으로 운영할 수 있게 됩니다.”
XMR 채굴 코드의 경우 피해자 모르게 배경에서만 실행된다. 컴퓨팅 자원을 적잖이 잡아먹으면서 모네로를 채굴하고 일부 피해자 시스템의 정보도 훔쳐낸다. 훔친 데이터는 공격자가 장악한 C&C 서버로 전송된다. 슈프림봇 채굴 클라이언트 역시 피해자의 CPU와 GPU 정보를 공격자가 설정한 특정 도메인으로 전송한다. 피해자마다 고유의 식별 번호가 부여되며, 이것을 기준으로 공격자가 자신이 장악한 시스템들과 전체 채굴 작전을 관리한다.
슈퍼마리오 통한 공격 방어하기
가짜 슈퍼마리오 설치파일로부터 들어오는 공격을 막으려면 가짜 설치파일을 다운로드 받지 않아야 한다. 게임의 공식 사이트가 아니라 와레즈나 토렌트 웹사이트에서 파일을 다운로드 받아 게임을 설치하게 되면 수상한 것들이 같이 오는 경우가 많고, 이번에 문제가 된 가짜 설치파일도 와레즈와 토렌트에서 주로 배포된다. “의외로 근무 환경에서 불법 파일을 다운로드 받는 경우들이 꽤 되는데요, 보안을 위해서도 회사 차원에서 이를 금지시켜야 합니다.”
그러므로 기업에서는 출처가 의심스러운 파일을 처음부터 받지 못하도록 규정을 정하고, 모니터링을 실시하며, 직원 대상 보안 교육을 주기적으로 진행하는 것이 좋다고 사이블 측은 강조한다. “또한 암호화폐 채굴 코드나 정보 탈취형 멀웨어가 임직원들의 엔드포인트에 설치되지 않도록 기술적으로 방어책을 마련하는 것도 좋은 방법입니다.”
잘 알려진 토렌트 사이트에 아예 접속이 되지 않도록 네트워크를 운영하는 것도 필요한 일이라고 사이블은 권고한다. “이미 여러 기업들에서 특정 사이트나 메신저는 회사 환경에서 사용되지 않도록 막고 있습니다. 토렌트와 와레즈 사이트도 기본적으로 차단해 두는 것이 맞습니다.”
글 : 엘리자베스 몬탈바노(Elizabeth Montalbano), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 6.28.] 인기 높은 슈퍼마리오 게임의 설치파일, 함부로 다운 받다가는 멀웨어에 감염](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
