접속 시 자동으로 메이저 사이트 다운로드 되는 도박 사이트 주의!

​

접속시자동으로메이저 사이트다운로드되는도박사이트가발견되어사용자들의주의가필요합니다.

해당 홈페이지들은 사행성 도박게임을 할 수 있는 홈페이지로, 다수의 홈페이지에서 동일한 메이저 사이트 내려오는 것이 확인되었습니다.

해당 메이저 사이트은 iframe으로 페이지 내 삽입되어 있으며, 자동으로 내려온 vcredist_2010.exe 메이저 사이트을 실행하면 추가로 RuntimeBroker.exe 메이저 사이트을 C:\Windows\SysWOW64폴더 하위에 저장하고 자동으로 실행합니다.

자동으로 실행 된 RuntimeBroker.exe 메이저 사이트은 컴퓨터 명, IP, MAC주소, 현재 상태 등을 포함하여 서버에 주기적으로 전송합니다. 또한 추가로 메이저 사이트 다운로드를 시도하나 공격자의 서버 문제로 해당 메이저 사이트에 대해 확인은 불가하였습니다.

해당 메이저 사이트은 현재 사용자가 진행하는 게임 파악 및 사용자 상태 로그 수집 목적으로 확인됩니다.

하지만, 공격자가 해당 메이저 사이트을 이용하여 사용자 PC에 추가적으로 메이저 사이트을 설치 할 수 있어 향후 악성행위를 할 가능성이 있어 사용자들의 주의가 필요합니다.

현재 알약에서는 해당 메이저 사이트들에 대해Trojan.Dropper.MSIL, Spyware.Infostealer.RedLine로 탐지중에 있습니다.