​

접속시자동으로파일이다운로드되는도박사이트가발견되어사용자들의주의가필요합니다.

해당 홈페이지들은 사행성 도박게임을 할 수 있는 홈페이지로, 다수의 홈페이지에서 동일한 토토 가입 머니 내려오는 것이 확인되었습니다.

해당 토토 가입 머니은 iframe으로 페이지 내 삽입되어 있으며, 자동으로 내려온 vcredist_2010.exe 토토 가입 머니을 실행하면 추가로 RuntimeBroker.exe 토토 가입 머니을 C:\Windows\SysWOW64폴더 하위에 저장하고 자동으로 실행합니다.

자동으로 실행 된 RuntimeBroker.exe 파일은 컴퓨터 명, IP, MAC주소, 현재 상태 등을 포함하여 서버에 주기적으로 전송합니다. 또한 추가로 파일 다운로드를 시도하나 공격자의 서버 문제로 해당 파일에 대해 확인은 불가하였습니다.

해당 토토 가입 머니은 현재 사용자가 진행하는 게임 파악 및 사용자 상태 로그 수집 목적으로 확인됩니다.

하지만, 공격자가 해당 토토 가입 머니을 이용하여 사용자 PC에 추가적으로 토토 가입 머니을 설치 할 수 있어 향후 악성행위를 할 가능성이 있어 사용자들의 주의가 필요합니다.

현재 알약에서는 해당 토토 가입 머니들에 대해Trojan.Dropper.MSIL, Spyware.Infostealer.RedLine로 탐지중에 있습니다.