토렌트 게임 다운로드 위험성: StaryDobry 암호화폐 모네로 채굴

Hours 첫 작성 : Hours 업데이트 :
Comments 0 Comments

요즘은 토렌트 사용할 일이 거의 없지만, 과거엔 토렌트 비공개 사이트에서 열심히 활동하던 시절이 있었습니다. Ratio를 맞춰야 하기 때문에 업로드도 소홀히 할 수 없었죠. 제가 예전부터 지금까지 게임이나 유틸리티는 토렌트로 다운로드 받아 사용하는 것을 절대 하지 않았는데 그 이유는 단순 영상 파일과는 다르게 악성코드, 백도어와 같이 사람들이 걱정하는 것들이 숨어있기 좋기 때문입니다.

토렌트로 게임을 다운로드 받아서 즐기는 ‘복돌이’를 상대로 악성코드를 배포하는 행위가 여전히 벌어지고 있다는 뉴스를 보니 신기하기도하고.. 지금도 ‘크랙’ 앞에서 무력한 게임 회사들이 많다는게 놀라웠습니다. 여러분은 정말 사정이 너무 어려워서 토렌트로 게임을 받으셔야 한다면.. 가상 컴퓨터 환경에서 즐기시는 것을 추천드립니다.

해커들, 불법 복제 게임으로 윈도우 PC 공격하다.

암호화폐 채굴 악성코드 유포 사건 ‘스타리도브리(StaryDobry)’

해커들이 불법 복제 게임(크랙 게임) 을 이용해 윈도우 PC를 공격한 사실이 뒤늦게 밝혀졌어요. 사건은 2024년 12월 31일에 벌어졌고, 조금 늦게 알려졌다고해요. 해커들은 토렌트를 통해 배포된 인기 게임에 암호화폐 모네로(Monero) 채굴 코드를 몰래 심었으며 감염된 사용자들의 PC를 통해 채굴을 시도했다고 합니다.

카스퍼스키 연구진이 ‘스타리도브리(StaryDobry)’ 라고 명명한 이 공격은 약 한 달 동안 지속되었으며 정확히 얼마나 많은 국가로 퍼져나갔는지는 모르겠지만 주로 러시아, 브라질, 독일, 벨라루스, 카자흐스탄의 국가에 많이 퍼졌고 개인 컴퓨터 뿐 아니라 기업 컴퓨터까지 피해를 입었다고 합니다.

좋은 컴퓨터만 노렸다.

놀랍게도 똥컴은 건들지 않았다고 합니다. 지금 사용하시는 컴퓨터가 게임하기 어려울 정도로 낮은 성능의 제품이라면 안심하셔도 좋습니다. 주로 고성능 게이밍 PC를 주요 타깃으로 삼았으며, 최소 3개월 동안 사전 준비를 거친쳤습니다.

공격 방식: 불법 게임을 이용한 감염 및 채굴 과정

해커들은 Dyson Sphere Program, Universe Sandbox, Plutocracy, Garry’s Mod, BeamNG.drive, Plutocracy 등 인기 게임에 채굴 악성코드를 심어서 해적 사이트에서 배포를 시작했습니다.

  1. 타겟 설정
    • CPU 8코어 이상 컴퓨터에서만 작동 하도록 설계
    • 리소스 문제도 있지만 게이밍 컴퓨터는 보통 GPU도 좋다는 것을 감안한 듯
    • IP 주소를 감지해 특정 국가에서는 실행되지 않도록 설계
  2. 게임 설치 파일 제작 도구 이용
    • 이노셋업(Inno Setup) 이라는 윈도우용 설치파일 제작 도구를 사용해서 악성코드가 포함된 설치 파일을 만들었습니다.
    • 작업 된 파일은 2024년 9월부터 토렌트 사이트에 업로드
    • 무료 게임이라고 착각하도록 배포
    • 많은 유저들이 다운로드 시작
  3. 게임 설치 중 악성코드 심기
    • 게임을 설치할 때 일반적인 게임 설치화면과 다를바가 없었고
    • 백그라운드에서 ‘unrar.dll’이라는 악성코드 드로퍼(dropper)가 자동 실행
  4. 감염 후, 일정 기간 대기
    • ‘unrar.dll’은 감염된 컴퓨터에서 숨죽이며 12월 31일까지 대기
    • 공격자들은 C&C(Command and Control) 서버를 통해 전 세계적으로 감염된 컴퓨터에 명령을 내릴 준비
  5. 2024년 12월 31일 공격 시작
    • 연말연시 사람들이 느슨해지고 연휴 등으로 인터넷, 게임 사용량이 늘어나는 시기를 노려 대규모 채굴 공격
    • 서버의 명령을 받은 감염된 모든 컴퓨터는 암호화폐 채굴 코드(XMRig)를 실행
  6. 디테일한 설계
    • 가상 머신(VM – Virtual Machines) 에서는 작동하지 않게 함
    • 분석 도구 실행 시 악성코드 자동 종료
    • 윈도우 시스템 파일 처럼 보이도록 파일 이름도 위장
    • 보안 프로그램이 쉽게 탐지하지 못하도록 악성코드를 AES 암호화

카스퍼스키 기준으로 Trojan.Win64.StaryDobry., Trojan-Dropper.Win64.StaryDobry., HEUR:Trojan.Win64.StaryDobry.gen 을 탐지한다고 하네요.

가장 많은 감염자를 만든 게임은 BeamNG.drive (70.5%)이고 그 다음은 Garry’s Mod (23.7%), Dyson Sphere Program(3.2%)이며 나머지 다른 게임들은 1퍼센트대거나 그 이하 입니다. (출처)

이 사이트를 보면 러시아어를 사용하거나 익숙한 사람들에게 주로 퍼진 것 같아요.

결론

게임만큼 가성비 좋은 취미는 없다고 생각합니다. 제가 오늘 주말이라 맛집을 다녀왔는데 인당 3~4만원 그냥 깨집니다. 음식은 한번 먹으면 소화되어 응가로 나와버리지만 게임은 사놓으면 두고두고 즐길 수 있어요. 아무리 못해도 20~30시간 이상은 즐기잖아요?

예를 들어 곧 출시할 몬스터 헌터 와일즈가 7만5천원 정도하는데 50시간만 즐겨도 시간당 1500원밖에 안합니다. 100시간 즐기면 750원이죠. 마음 편하게 게임은 돈 주고 사서하는게 맞는 것 같습니다.

이렇게까지 설명드리는 이유는, 말씀드린 해커들이 저지른 짓을 보면 해킹 기술이 점점 더 정교해지고 있기 때문에 나중에 또 어떤 피해를 입을지 모르기 때문이예요. 불법 복제 게임을 찾아다니고, 설치하고 즐기면서 불안해하기 보단 그냥 정품사서 마음 편하게 실컷 뽕 뽑는게 현명하다고 생각합니다.

같이 읽으면 좋은 글 – 토렌트 사용시 안전한 VPN 설정

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다