앱 개발 형태로 제작된 악성코드, 탐지 어려워
인포스틸러, 브라우저·히스토리·계정정보 등 사용자 정보 파일공유 서비스에 업로드
게임이나 유틸리티를 사용할 때 공식 홈페이지 통해야
[보안뉴스 박은주 기자] 앱을 개발할 수 있는 프레임워크 ‘Electron(일렉트론)’으로 제작된 인포스틸러가 발견됐다. 앱 개발 형태로 제작된 악성코드는 진단 및 앱을 사용하는 과정에서 악성코드를 인지하기 어려워 게임이나 유틸리티를 내려받을 때 각별한 주의가 요구된다.
▲설치된 Electron 프로젝트 구조[자료=ASEC]
Discord(디스코드), Microsoft VSCode가 일렉트론으로 만들어진 대표적인 애플리케이션이다. 일렉트론으로 개발된 앱은 주로 오픈소스 스크립트 기반의 설치 프로그램 생성 도구인 ‘NSIS(Nullsoft Scriptable Install System)’ 형태로 패키징돼 배포된다. 앱 개발 형태로 악성코드를 제작하고 유포하는 것.
NSIS 설치파일로 유포되는 악성코드는 NSI 스크립트가 직접 악성코드를 실행하는 것이 일반적이다. 다만, 일렉트론이라는 개발 구조를 거치면 악성코드임을 발견하기 어려워진다.
▲악성 행위가 정의된 스크립트[자료=ASEC]
안랩 시큐리티 인텔리전스(ASEC)가 공유한 사례를 살펴보면, 악성코드를 실행했을 때 위 이미지와 같은 폴더 구조의 일렉트론 애플리케이션이 설치 및 실행됐다. 일렉트론은 node.js로 OS와 상호작용하고, 실제 악성 행위가 정의된 곳은 node.js 스크립트로 확인됐다. 스크립트는 ‘.asar 파일’에 패키징돼 있다.
▲고파일에 업로드된 파일 일부[자료=ASEC]
다른 사례에서 악성코드는 팀뷰어 관련 파일로 위장해 있었다. 악성코드를 통해 수집한 정보는 파일 고유 서비스인 고파일(Gofile)에 올렸다. 시스템 정보와 브라우저 및 히스토리, 계정정보 등 수집한 사용자 정보가 유출됐다.
따라서 게임이나 유틸리티를 사용할 때는 공식 홈페이지를 통하는 것이 안전하다. 의심스러운 웹사이트나 P2P 이용은 자제해야 한다. 공격자는 파일 공유 사이트나 침해된 사이트, 블로그 등을 통해 악성코드가 담긴 각종 불법 프로그램을 유포할 수 있다. 심지어 정상 프로그램을 악용하기도 한다. 사용자는 다양한 플랫폼을 통해 악성코드가 설치될 수 있다는 점을 인지하고 각별히 주의를 기울여야 한다.
[박은주 기자([email protected])]
