BOINC 악성코드

보안과 기능을 모두 유지하려면 맬웨어 위협으로부터 장치를 보호하는 것이 중요합니다. 최근 사이버 범죄자들은 분산 컴퓨팅 프로젝트를 위한 합법적인 유틸리티인 BOINC(Berkeley Open Infrastructure for Network Computing)를 악용하여 감염된 시스템에서 위협적인 활동을 실행했습니다. 이는 BOINC 자체의 취약점이 아닙니다. 대신 악성코드는 BOINC를 불법적으로 설치하여 작업을 수행합니다.

설치 및 실행

이 악성코드는 제3자 페이로드를 사용하여 동의 없이 사용자 장치에 BOINC를 로드합니다. 이 방법은 일반적인 설치 프로세스를 우회하여 BOINC가 은밀하게 설치되도록 합니다. 사용된 바이너리는 공식 BOINC 설치 프로그램 8.0.2에서 직접 가져오지만 설치 프로그램 자체는 설치 프로세스에 직접 사용되지 않습니다.

위협적인 작전

설치 시 악성코드는 여러 가지 안전하지 않은 활동을 시작합니다.

• 숨겨진 Windows 사용자 생성 : 숨겨진 Windows 사용자가 생성되고 있다는 확인되지 않은 보고가 있으며, 이는 잠재적으로 추가 무단 액세스를 촉진할 수 있습니다.
• 서비스 설치 : 감염된 시스템에는 유해한 소프트웨어가 서비스로 설치되지만, 서비스명 등 구체적인 내용은 현재 공개되지 않는다.
• 파일 배포 : BOINC의 여러 복사본이 'C:\USERNAME\AppData\Roaming' 폴더와 그 하위 폴더에 다운로드되어 시스템 전체에 존재하게 됩니다.
• 실행 파일 이름 변경 : BOINC 클라이언트 실행 파일의 이름은 '.exe', 'gupdate.exe', 'SecurityHealthService.exe' 및 'trustedinstaller.exe'와 같은 일반적인 시스템 프로세스 이름으로 변경됩니다. 이 변장은 탐지를 피하고 합법적인 프로세스와 혼합하는 것을 목표로 합니다.
• 가짜 서버 생성 : 합법적인 Rosetta@home 서버와 유사한 가짜 BOINC 서버가 보고되었습니다. 보안상의 이유로 이름은 공개되지 않았지만 이 서버는 합법적인 프로젝트를 모방하여 잠재적으로 사용자를 속이고 승인되지 않은 작업을 수행합니다.

배포 및 영향

이 악성 코드의 배포 방법은 여전히 불분명하며 피해자들은 이 악성 코드가 공용 Wi-Fi 네트워크 연결과 연결될 수 있다고 추측하고 있습니다. 이 캠페인은 특히 미국의 사용자를 대상으로 하며 가짜 프로젝트 서버에 따르면 약 7,000대의 Windows 장치에 영향을 미치는 것으로 보입니다.

완화 및 제거 조언

연구원들은 이 악성 코드의 영향을 완화하기 위해 다음 단계를 제안합니다.

• 작업 스케줄러 정리 : '로밍' 폴더에서 코드를 실행하는 작업 스케줄러의 모든 항목을 확인하고 제거합니다. 이러한 항목은 Mozilla 또는 Google 업데이트와 같은 합법적인 프로세스로 위장한 것처럼 보이거나 단순히 밑줄과 숫자로 구성될 수 있습니다.
• 파일 삭제 : '로밍' 폴더와 그 하위 폴더에 저장된 불필요한 파일을 모두 삭제합니다. 안전하지 않은 모든 파일을 안전하게 삭제하려면 사용자는 '작업 관리자'를 사용하여 프로세스를 종료해야 할 수도 있습니다.

이러한 예방 조치를 취하고 의심스러운 활동 및 설치에 대해 경계함으로써 사용자는 BOINC 악성 코드와 같은 위협적인 소프트웨어의 영향으로부터 장치를 보호할 수 있습니다.