유튜브 영상 따라하다 악성코드 감염될라…진화하는 사이버범죄

안랩 "공격자가 악성코드 유포 위해 새로운 방법 동원"

악성코드 유포 실수 아닌 고의성 보여…"지속적인 수법"

유튜브에서 불법 소프트웨어(SW) 사용법을 알려주는 체하며 악성코드 감염을 유도하는 영상이 발견됐다.

해당 영상 게시자는 의도적으로 악성코드 파일을 준비하고, 영상을 따라한 사람의 컴퓨터를 감염시켜 정보를 빼내려 했다. 유튜브에서 이같은 악성코드 유포 수법을 특정 게시자가 수행하는지는 알 수 없지만, 이같은 수법이 지속적으로 나타나고 있다.

안랩은 최근 상용 소프트웨어(SW) 불법 다운로드 관련 유튜브 영상을 이용해 악성코드를 유포하는 사례를 발견했다고 22일 밝혔다.

공격자는 SW의 불법복제 방지기술을 무력화하는 '크랙' 프로그램 사용법을 설명하는 영상으로 이용자를 유인했다. 영상 제목은 'Download Crack for Ableton Live Suite for FREE (2020 Working)'이다.

 

안랩이 유튜브에서 발견한 악성코드 설치 유도 유튜브 영상. [사진=안랩 제공]

해당 영상 게시자는 올해 5월 유튜브에 가입했고 현재까지 6개의 영상을 게재했다. 모두 마이크로소프트 오피스, 어도비 애프터이펙트와 아크로뱃 프로 등 상용 SW의 크랙이나 게임 핵, 특정 유료 웹서비스의 무료 사용법 등을 알려 준다는 제목을 쓰고 있다.

이 공격자는 영상의 상세 설명란에 크랙 다운로드 주소(URL)와 파일 암호를 기재해 이용자가 해당 URL을 실행하도록 유인했다. 이용자가 URL에 접속하면 실행파일(exe)을 포함한 압축파일(zip)을 받게 된다.

이 파일은 정상 프로그램과 함께 악성코드가 포함된 형태가 아니라, 악성코드만 들어 있는 형태다. 파일 암호를 입력해 압축을 풀고 실행파일을 실행하면 악성코드가 PC에 설치된다.
 

악성코드 설치 유도 영상을 게재한 유튜브 이용자의 업로드 영상 목록. [사진=유튜브 웹사이트]

PC에 설치된 악성코드는 웹브라우저 계정 정보, 가상사설망(VPN) 프로그램 사용자 정보, 인스턴트 메신저 계정정보 등을 탈취한다. 현재 안랩 V3 제품군은 해당 악성코드를 진단하고 있다.

이재진 안랩 분석팀 연구원은 "해당 유포 수법이 지속되고 있지만 (유튜브) 계정을 새로 만들어서 올리는 경우가 많아 (여러 유튜브 계정 이용자가) 동일인인지 여부는 알 수 없다"면서도 "게시자가 유포한 악성코드는 그것이 악성코드인지 몰랐다고 보기에는 어렵다"며 고의성이 있다고 설명했다.

이 연구원은 "공격자는 악성코드 유포를 위해 가짜 웹사이트 등에서 나아가 유튜브 영상같은 새로운 방법도 이용한다"며 "향후 유사한 제목과 방식으로 공격이 이어질 가능성이 있어 정품SW 이용 등 보안수칙을 준수해야 한다"고 말했다.

정보유출 피해를 막으려면 정품SW 및 콘텐츠를 이용하고 의심되는 웹사이트 방문을 자제해야 한다. 운영체제(OS) 및 인터넷 브라우저, 응용프로그램, 오피스SW 등을 최신버전으로 유지하고 보안 패치를 적용해야 한다. 백신 프로그램 역시 최신버전을 유지하고 주기적으로 검사해야 한다.
 

[사진=게티이미지뱅크]