한국 TV 콘텐츠를 통해 확산되는 백도어가 발견되었다. 토렌트 사용자들의 각별한 주의가 요구된다.

이번에 발견된 백도어에 감염된 컴퓨터는 공격자에 의해 원격으로 제어할 수 있게 된다.

ESET(이셋) 측은 “GoBot2라는 공개 백도어에 탐지를 회피하기 위한 내용이 추가된 수정 버전이다. GoBot2 백도어는 분실폰 셀카 사진, 음란 동영상 등으로 위장해 많은 사용자들에게 피해를 입힌 것으로 알려져 있다”고 설명했다.

이셋은 이번에 발견된 백도어를 Win64/GoBot2의 변형인 ‘GoBotKR’로 명명했다.

이셋의 분석에 따르면 GoBotKR은 2018년 3월부터 활동해 왔으며, 한국을 비록해 중국,

대만 등 한류의 인기가 높은 국가에서 많이 발견되었다.

GoBotKR은 한국 영화 및 TV 쇼 게임 등으로 가장해 한국과 중국의 토렌트 사이트를 통해 주로 확산되고 있다.

이 백도어는 사용자를 유혹하는 비디오 파일명, 확장자 및 아이콘을 가진 악성 파일을 사용해 사용자가 악성코드를 실행하도록 유도한다.

-사용자를 유혹하는 MP4 파일

-다양한 코덱 인스톨러로 위장한 PMA 아카이브 파일에 숨겨진 악성코드

-비디오로 사칭하는 파일 이름과 아이콘을 가진 악의적인 바로가기 링크 파일

비디오 파일을 클릭하는 것만으로 악성코드에 감염되진 않지만 PMA 파일을 실행한다거나 바로가기 링크를 클릭하면 즉시 악성코드에 감염되어 피해가 발생할 수 있다.

이셋코리아 김남욱 대표는 "한류 열풍에 힘 입어 한국 드라마나 쇼 프로그램이 세계적인 인기를 끌고 있는 가운데 이를 이용한 악성코드가 발견됨에 따라 토렌트 등을 통한 한류 컨텐츠의 다운로드에 각별한 주의가 필요하다”며 “또한 이번에 발견된 악성코드는 공격자의 IP 주소가 블랙리스트에 등록된 몇몇 보안 제품이나 포털을 이용하는 경우 자동으로 실행을 종료함으로써 탐지를 회피하고 있기 때문에 발견이 어려울 수도 있다. 각별한 주의가 요구된다”고 당부했다.