ElectroRAT 악성코드 [트로이목마]

www.dailysecu.com/news/articleView.html?idxno=119714

[정보보호 카드뉴스] 암호화폐 사용자 PC에 원격접근하는 악성코드 'ElectroRAT' - 데일리시큐

 

사이버 보안 회사 Intezer Labs에서 발견한 암호화폐 사용자의 PC에 접근하는 악성코드 ElectroRAT가 발견됐다. ElectroRAT 악성코드는 키 입력 기록, 화면 캡처, 파일 송수신, 원격 코드 실행 등의 악성 행위를 할 수 있다. 해당 악성코드는 암호화폐 거래용 프로그램이나 암호화폐를 이용하는 게임 소프트웨어로 위장하여 암호화폐 관련 포럼이나 소셜 미디어에 배포했다. 윈도우, 리눅스, macOS 등 여러 OS에서 동작이 가능하는 악성코드이기 때문에 신뢰할 수 없는 경로의 프로그램 설치는 피하고 공식 사이트에서 배포하는 프로그램을 설치하여 사용하기를 권장한다.

 

해당 악성 코드는 트로이 목마의 형태로 다양한 동작을 하는 악성 코드이다. 트로이 목마는 정상 프로그램인듯 사용자의 PC에 접근하고 악성행위를 하는 형태의 악성 코드이다. 대부분 정상 프로그램에 악성 코드를 추가하여 배포하는 형식이기 때문에 공식 사이트에서 프로그램을 설치한다면 트로이 목마를 예방할 수 있다. 때문에 이메일, 블로그, 커뮤니티 등에서 편의상 올린 프로그램이라도 설치하지말고 공식 사이트에서 직접 다운로드하는게 안전하다.

이름에서 알 수 있듯이 Electron 프레임워크를 사용해서 개발된 악성코드이다. Electron은 크로스 플랫폼 프레임워크이다. 여기서 크로스 플랫폼이란 여러 운영체제, 언어, 프로그램 등에서 동작할 수 있는 플랫폼이다. 즉, 여러 종류의 컴퓨터에서 동작할 수 있는 플랫폼이다. 그 중 Electron은 Chromium과 Node.js를 사용하고 JavaScript, HTML, CSS를 이용하여 여러 운영체제에서 동작할 수 있는 애플리케이션을 개발할 수 있다. 즉, 웹 언어를 이용하여 설치형 애플리케이션을 구현할 수 있는 플랫폼이다.

ElectronRAT는 Electron 프레임워크를 이용하고 Golang으로 작성되었다. 여기에 트로이목마라는 특성을 조합하여 여러 환경에서 동작할 수 있는 알려지지 않은 악성코드를 작성하여 배포했던 것이다. 이름에 포함된 RAT는 원격 관리 도구(Remote Adminstration tool)의 약자로 원격 코드 실행, 키 로깅 등의 동작을 할 수 있는 악성코드를 의미한다.