디스코드는 음성채팅 프로그램입니다.
이번에 발견된 악성코드는 디스코드의 사용자 계정을 탈취하기 위한 목적으로 설계되었습니다.
사용자의 비밀번호 등을 빼돌리고, 2중 보안을 해제하여 해킹하는 방식입니다.
이 글에서는 AnarchyGrabber라는 널리 사용되는 트로이 목마를 이용하여 사용자 토큰을 훔치는 악성코드를 소개하고 일반 사용자의 대비책을 안내합니다.
일단 AnarchyGrabber3가 한번 설치되면 악의적으로 사용자 정보를 빼 돌릴 수 있는 악성코드가 삽입됩니다.(정상적 코드와 함께 실행됩니다.)
최근 나온 AnarchyGrabber3 트로이목마 악성코드
대략 2주 전, AnarchyGrabber3는 강력한 기능을 탑재해 출현하였습니다.
이 변종 악성코드는 친구에게 메시지를 보내 AnarchyGrabber3을 설치하도록 요구합니다.
(아마 영어로 전송되어 한국 대상으로는 피해가 적을 겁니다. + Discord측도 이 문제를 알고 있어 해당 코드는 차단될 것)
이 악성코드가 설치된 지 확인하려면,
%AppData%\Discord\[version]\modules\discord_desktop_core\index.js 에서 확인이 가능합니다.
(Windows + R) "%AppData%" 검색 후 폴더를 찾아서 들어가면 됩니다.
정상적인 파일이라면, 위의 사진처럼 복잡한 코드가 아닌 아래 코드처럼 한 줄만 있습니다.
module.exports = require('./core.asar');
악성코드의 변조 파일이 설치된 위치입니다.
이 악성코드가 설치된 환경에서는 로그인이 해제되며, 다시 로그인을 하도록 뜹니다.
로그인을 하게 되면 2차 보안 해제 + 이메일 주소, 아이디, 이름, 비밀번호, 인증 토큰, 비밀번호, IP주소를 공격자에게 전송하게 설계되어있습니다.
대응방법
만약 위의 내용처럼 악성코드가 삽입된 경우, 사용자가 할 수 있는 행동은 삭제 후 재설치입니다.
(악성코드가 설치 안 된 경우에 재설치하실 필요 없습니다.)
삭제를 하게 되면 해당 악성코드가 삭제되며, 재설치 시 악성코드가 없는 상태로 설치가 됩니다.
Q. 웹브라우저용 디스코드를 사용하는데 문제가 있을 수 있나요?
A. 아닙니다. 설치용 프로그램에서만 악성코드가 삽입될 수 있습니다.
Q. 위에서 언급한 파일을 열어보니까 module.exports = require('./core.asar'); 한 줄만 있어요 감염된 건가요?
A. 정상적인 경우입니다.
'소개 > IT 상식' 카테고리의 다른 글
| Windows 에서 만들 수 없는 폴더명은? (0) | 2020.06.06 |
|---|---|
| 유튜브의 고유 ID값은 얼마나 많은 영상을 나타낼 수 있을까? (0) | 2020.06.05 |
| 애드센스 추적기) 로그분석으로 무효클릭 공격 분석하기 (0) | 2020.06.03 |
| 웹 서버 호스팅 나에게 맞는 사양은? (4) | 2020.06.03 |
| 2020-05-30 오류해결) 루트 인증서 업데이트 방법 (37) | 2020.05.30 |
| 오류해결) NET::ERR_CERT_DATE_INVALID (17) | 2020.05.30 |
| ‘전자세금계산서 발급안내’로 위장한 악성 이메일 어떻게 발신자 변조가 가능할까? (0) | 2020.05.28 |
| 플레이스토어) 사라진 애드센스 앱 재설치 방법 (0) | 2020.05.27 |
저작권 보호안내
무단 전재, 재배포 행위는 금지됩니다. (글을 복사하여 게시금지)
본문의 일부(링크용 문장) 인용은 가능하지만, 출처와 링크(a 태그)를 남기셔야 됩니다.
(웹툴을 이용하고, 스크린샷/녹화하는것은 상관없습니다.)
예외적으로. 저에게 허락받은 경우에는 본문을 전재할 수 있습니다.
만약, 본문 공유를 원하신다면 링크 공유를 해주세요
저작권 정책 확인하기링크 공유하기