카카오톡을 사칭한 악성코드

https://www.ahnlab.com/ko/contents/content-center/36107

카카오톡 설치하려다 감염? 검색 노린 악성코드 주의

 

2026년 3월 9일 카카오톡 PC버전 설치 파일로 위장한 "Winos4.0"악성코드가 발견됐다.

 

검색 결과 상단 노출

사람들은 흔히 검색 결과 상단에 위치한 사이트를 공식 페이지로 인식한다. 이를 악용해 검색 엔진 악성코드를 사용해 악성 사이트를 상단에 노출시켰다.

==> SEO 포이즈닝 기법으로 추정

 

*SEO 포이즈닝 : 공격자가 악성 웹사이트를 제작한 뒤 검색 엔진 최적화 기법을 악용해 악성 사이트가 검색 결과 상위에 노출되도록 조작하는 공격 방식

 

 

파일 실행

설치 파일을 실행하게 되면 카카오톡 아이콘을 사용하는 실행파일이 설치되는데, 해당 파일의 디지털 서명은 중국 기업 NetEase이름의 유효하지 않은 인증서로 서명돼 있다.

 

 

 

악성코드 분석

• NSIS 기반 설치 파일로 제작됨.
  • NSIS : Nullsoft Scriptable Install System의 약자로, 윈도우용 오픈소스 설치 프로그램 제작 툴.
  • 설치파일을 생성하기 전에 여러 악성 파일을 먼저 생성하도록 되어있음.
  • 실행 과정에서 생성되는 여러 구성 요소가 서로 연계되어 Winos4.0 악성코드를 동작시킴.
  • Windows Defender 검사 예외 경로를 추가해 보안 기능을 약화 & DLL 등록을 통해 지속성 확보
  • 이후 KaKao Talk Setup.exe를 함께 생성해 사용자에게는 정상 설치 과정처럼 보이도록 위장
• 동작 흐름
  • Verifier.exe가 Profiler.json 로드
  • rundll32.exe를 통해 AutoRecoverDat.dll이 GPUCache 계열 파일 로드

=> 두 가지 다 Winos4.0 계열 악성 행위로 이어짐.

• Winos4.0 역할
  • C2서버와 통신하며 외부 명령을 수신하고 실행하는 백도어 기능 수행
  • 스크린 캡쳐
  • 파일/프로세스 제어
  • 시스템 정보 수집
  • 추가 악성코드 다운로드
  • 분서 ㄱ및 모니터링 환경 탐지/회피

 

 

대응 방법

1. 공식 카카오톡 설치 파일 여부 확인
2. 작업 스케쥴러 확인
   • 악성코드 실행 시 아래의 작업 스케쥴러가 생성돼 시스템 부팅 시 자동으로 실행되도록 설정한다.
     • Microsoff\Windows\AppID -> .NET Framework adv v6.0.4232
     • Microsoff\Windows\AppID -> .NET Framework JDAH v7.7
3. 악성코드 파일 경로 확인
   • 악성코드 내부 스크립트에 악성코드 파일이 설치되는 경로가 하드코딩 되어있고, 주로 %AppData% 또는 %LocalAppData%이다. 아래 경로에 동일한 파일이 존재할 경우 악성파일일 가능성이 높아 즉시 삭제하는 것이 안전하다.
     • %AppData%\GPUCache.xml
     • %AppData%\CPUCache2.xml
     • %AppData%\Embarcadero\GPUCache.xml
     • %AppData%\Embarcadero\GPUCache2.xml
     • %AppData%\Embarcadero\AutoRecoverDat.dll
     • %LocalAppData%\Verifier.exe
     • %LocalAppData%\Profiler.json