가짜 윈도우11 다운로드 페이지 조심하세요

- Advertisement -

온라인으로 파일을 다운로드했더니 PC가 바이러스에 감염되는 사례는 오래전부터 흔했다. 사람들이 자주 찾을만한 파일로 위장한 악성코드 때문이다. 꽤 고전적인 방법인데 꾸준히 피해자가 발생하는 이 방법은 최근 파일이나 프로그램뿐만 아니라 운영체제까지 넘보고 있다.

PC 관련 소식을 전하는 해외 매체 ‘블리핑컴퓨터(BleepingComputer)’는 가짜 윈도우11 다운로드 사이트를 조심하라고 18일(현지시간) 보도했다.

가짜 윈도우11 사이트 (출처 : 블리핑컴퓨터)

내용에 따르면 가짜 사이트는 윈도우11을 무료로 다운로드하고 업그레이드할 수 있다고 홍보하고 있다. 디자인은 마이크로소프트 윈도우11 프로모션 홈페이지를 그대로 모방했다. 로고와 아이콘, 배너까지 공식 홈페이지와 동일해 혼동하기 쉽다. 사이트에 접속한 사람이 어색한 느낌을 가능한 덜 받도록 URL도 윈도우11과 관련된 키워드로 구성했다.

배너에는 윈도우11 다운로드 버튼이 있는데, 클릭하면 멀웨어가 포함된 파일이 다운로드된다. 파일 확장자는 ‘ISO’로 과거 CD로 설치하던 프로그램들이 현재 가장 많이 사용하는 형식이다.

◆ 윈도우11로 위장한 ‘이노 스틸러’ 멀웨어는?

블리핑컴퓨터는 해당 멀웨어를 분석한 보안 업체 ‘클라우드섹(CloudSEK)’의 보고서를 공유했다.

이노 스틸러 멀웨어의 침투 과정 (출처 : CloudSEK)

클라우드섹에 따르면 해당 ISO 파일에 들어있는 ‘Windows 11 Setup’ 실행 프로그램은 ‘이노 스틸러(Inno Stealer)’라는 이름의 악성 코드를 PC에 적용한다. 이 과정에서 사용자 PC 속 데이터를 훔치는 프로세스가 실행되도록 설정된다. 악성 코드를 보호하는 파일도 생성된다.

파일은 △레지스트리 값을 변경해 PC의 보안을 비활성화하는 역할 △악성 코드를 윈도우 디펜더(Defender)의 검사 예외 대상으로 설정하는 역할 △해당 악성 코드를 탐지할 수 있는 몇몇 서드파티 백신 프로그램을 제거하는 역할을 한다. 또한 악성 코드를 시작 프로그램에 등록해 PC가 켜질 때 자동으로 실행되게 한다.

이노 스틸러는 사용자에게 어떤 영향을 끼칠까. 블리핑컴퓨터는 이 멀웨어가 웹 브라우저에 저장된 쿠키와 자격 증명, 암호화폐 지갑의 데이터와 파일 시스템 정보를 수집하는 기능을 포함하고 있다고 알렸다.

이노 스틸러는 브라우저와 암호화폐 지갑 데이터를 훔친다 (출처 : CloudSEK)

이노 스틸러가 데이터를 수집하는 브라우저에는 가장 많은 사용자를 보유한 크롬을 비롯해 엣지, 오페라, 비발디, 브레이브, 360 브라우저까지 총 35가지가 있다. 39종류의 암호화폐 지갑으로부터 데이터를 탈취하는 것으로 밝혀졌다. 훔친 데이터는 윈도우 기본 프로그램 ‘파워쉘(PowerShell)’을 사용한 명령어를 통해 PC의 임시 파일 형태로 저장됐다가 해커의 명령이 인지되면 서버로 전송된다.

TXT 형식의 악성 코드를 추가 다운로드해 적용하기도 하는데, 새로 적용되는 코드는 사용자에게 들키지 않도록 야간에만 데이터를 훔치는 것으로 밝혀졌다.

◆ 가짜 파일 방지하려면 ‘정식 경로’ 이용 당연, 보안 설정도 필수

멀웨어가 가짜 파일로 위장하고 배포되는 사례는 흔하다. 이런 악성 코드가 사용자 PC에서 활동하지 못하게 하려면 파일을 다운로드할 때 믿을 수 있는 경로인지 확인하는 게 중요하다. 가급적 공식 경로를 이용해야 한다.

이번에 블리핑컴퓨터가 보도한 가짜 윈도우11 사이트도 멀웨어를 배포하는 방식은 기존과 별 다를 바 없다. 하지만 윈도우11 업그레이드 조건이 높은 탓에 피해를 입는 사람은 많을 것으로 예상된다. 마이크로소프트는 비교적 최신 CPU를 탑재하고 신뢰 플랫폼 모듈(TPM) 2.0 버전을 지원하는 PC에만 윈도우11을 설치하도록 제한했다. 이에 상당히 많은 사용자가 윈도우11로 업그레이드하지 못했는데, 우회 설치가 가능한 방법을 찾는 과정에서 이런 가짜 사이트에 속을 가능성이 높다.

한편 블리핑컴퓨터는 가짜 사이트에서 다운로드 버튼을 누르더라도 PC가 보호되는 사례도 공유했다. 보안 기능을 제공하는 익명 네트워크(Tor)나 가상 사설망(VPN)을 이용할 경우 다운로드가 차단될 수 있으며, 브라우저나 백신 프로그램에 다운로드 파일을 자동으로 검사하는 기능이 탑재되면 악성 코드가 실행되는 것을 사전에 방지할 수 있다고 전했다.

테크플러스 에디터 이병찬

tech-plus@naver.com​

[fv0012]

- Advertisement -

댓글

Please enter your comment!
Please enter your name here


Related Stories