일부 경우, 독자가 당사 페이지 또는 파트너 웹사이트를 통해 결제가 이루어지거나 양식을 작성하면 수익이 발생할 수 있습니다. 하지만 우리는 엄격한 광고 정책을 준수하며, 상업적 기회가 편집의 독립성을 해치거나 영향을 미치지 않도록 보장합니다. 이러한 수익은 Techopedia가 수준 높은 갬블링 정보를 제공하는 데 활용됩니다.
최근 연구원들이 윈도우 PC에서 성능 향상 도구나 설치 도구와 같은 게임 관련 애플리케이션에 숨겨져 탐지되지 않고 확산되는 새로운 형태의 악성코드, ‘위노스 4.0(Winos 4.0)’을 발견했다.
이 악성코드는 모듈형 구성 요소로 설계되어 원격으로 여러 가지 작업을 수행할 수 있으며, 이를 통해 공격자들이 감염된 시스템에 대한 광범위한 제어를 할 수 있도록 한다.
가상화폐 지갑 확장 프로그램을 탐색하는 위노스 4.0
보안 회사 포티가드 랩(FortiGuard Labs)에 따르면, 위노스 4.0은 백그라운드에서 은밀히 작동하면서도 안티바이러스 소프트웨어의 검사를 회피하며 시스템 내부의 정보를 수집한다. 특히 가상화폐 지갑 확장 프로그램을 탐색하여 해당 정보에 접근할 수 있는 점이 주목된다.
이 멀웨어는 Gh0stRat 트로이 목마의 진화된 변종으로, 모듈형 프레임워크를 이용하여 악성 셸 코드를 삽입하고 숨겨진 파일을 디코딩하는 등의 활동을 수행한다. 이를 통해 손상된 시스템에 대한 장기적인 제어를 유지하며, 필요한 핵심 모듈을 로드하여 감염을 지속시키는 기능을 갖추고 있다.
Winos4.0 is a new variant of the Gh0strat malware targeting Windows users. It spreads through game-related applications and, once installed, grants attackers remote control over the compromised systems. pic.twitter.com/WlOfxNcFR4
— Alex (@Jfreeg_) November 6, 2024
위노스 4.0의 감염은 사용자가 무해해 보이는 성능 향상 도구나 설치 도구를 다운로드하는 과정에서 시작된다. 이 과정에서 멀웨어가 감춰져 있으며, 설치와 동시에 감염이 발생하는 복잡한 감염 체인이 작동한다.
멀웨어가 활성화되면, 공격자가 제어하는 원격 서버에서 디지털 이미지를 저장하는 데 사용되는 이미지 파일 형식인 비트맵(BMP)을 다운로드하여 공격 시퀀스를 개시한다.
비트맵 파일은 위노스 4.0의 동적 링크 라이브러리(DLL) 파일을 포함하고 있으며, 이를 통해 악성 코드가 추가 모듈을 배포하고 시스템에 영구적 존재감을 확보할 수 있도록 한다. 이를 위해 위노스 4.0은 레지스트리 키나 예약 작업을 생성해 악성 코드의 탐지와 제거를 어렵게 만든다.
추가 조사 결과, 위노스4.0은 명령 및 제어(C2) 서버와 통신하여 암호화된 모듈과 명령을 수신하는 것으로 밝혀졌다. C2 서버 주소는 특정 레지스트리 키에서 가져오며, 이를 통해 지속적으로 연결을 유지하고 추가 명령을 받을 수 있다.
이 연결을 통해 멀웨어는 문서 관리, 화면 캡처, 감염된 시스템 환경 모니터링 등 다양한 작업을 실행할 수 있으며, 공격자에게 폭넓은 감시 능력을 제공한다.
보안 전문가들은 위노스 4.0의 심각한 위협성을 강조하며, 사용자가 검증된 출처에서만 소프트웨어를 다운로드하고 신뢰할 수 있는 백신 프로그램을 사용하는 것이 필수적이라고 조언하고 있다.
