Kant's IT/Issue on IT&Security
스노우 화이트 불법 다운로드 위장 악성코드 유포 캠페인 분석
Kant Jo
2025. 5. 9. 22:51
Malicious Snow White Movie Download Targets Viewers with New Malware
Malicious Snow White Movie Download Targets Viewers with New Malware
The absence of streaming options on platforms like Disney+ has led many viewers to seek pirated versions online.
gbhackers.com
- 위협 개요
- 2025년 개봉 영화 스노우 화이트의 스트리밍 미제공을 악용한 불법 다운로드 위장 악성코드 유포 캠페인 발생
- 사용자들이 토렌트를 통해 영화를 찾는 심리를 악용하여 감염 유도
- 해당 캠페인은 TeamEsteem 블로그 게시글을 통해 악성 토렌트 파일 유포
- 유포 방식 및 감염 경로
- 공격자는 TeamEsteem 웹사이트에 게시글 등록, 토렌트 다운로드 링크를 삽입
- 해당 링크는 3개 파일로 구성된 패키지를 포함하며, 그 중 하나가 악성 실행파일(xmph_codec.exe)임
- 위장 방식은 필수 비디오 코덱 설치 파일로 사용자 기만
- 악성코드 기술 분석
- 악성 행위
- TOR 브라우저 자동 설치
- 다크웹 기반 C2 서버와 통신 (onion 주소 사용)
- Windows Defender 및 주요 보안 기능 비활성화
- 추가 악성 파일 드롭 및 설치
- 파일 특성
- 2024년 7월 12일 컴파일된 실행파일
- 인증서 없는 비서명 실행파일
- VirusTotal 기준 73개 중 50개 보안 솔루션에서 탐지됨
- C2 주소
http://cgky6bn6ux5wvlybtmm3z255igt52ljml2ngnc5qp3cnw5jlglamisad.onionhttp://cgky6bn6ux5wvlybtmm3z255igt52ljml2ngnc5qp3cnw5jlglamisad.onion/route.php
- 악성 행위
- IOC(침해지표)
9c1a0608bae991af50096acaec9d979df9f9a3bb6e89d9d20972d6cfeb9582bb2ec555c34f0af1514501ca5e4d999c843d5b9de7973467820fcf6034a517c4cc8b81b0017c0e154c1fdea226f1ad0d3cfc0e301af05698bdbb7d0d6037d71a12
- 보안 권고
- 불법 콘텐츠 다운로드 자제: 특히 스트리밍 미제공 콘텐츠의 불법 유통은 사회공학 기반 악성코드 유포의 주요 통로
- 코덱 설치 요구형 실행파일 주의: 코덱 위장 실행파일은 고전적인 악성코드 전술로 여전히 사용 중
- TOR 기반 C2 통신 차단 설정 권고: 보안 장비에서 .onion 주소 및 TOR 통신 탐지 룰 설정 필요
- 정품 스트리밍 이용 유도 및 보안 교육 강화: 일반 사용자를 대상으로 한 보안 인식 제고 활동 필수