출처 : https://www.munhwa.com/news/view.html?no=2023062301039907018001

안랩이 최근 ‘한글 2022 크랙’ 설치파일로 위장한 파일을 파일 공유 사이트에 올려 가상화폐 채굴 및 원격제어 악성코드 등을 유포하는 사례를 발견해 사용자의 주의를 당부했다.

23일 안랩에 따르면 공격자는 먼저 웹하드, 토렌트 등 국내 다수 파일 공유 사이트에 ‘한글2022 (★일반 사용자용 영구 정품 인증)’이라는 제목으로 악성 압축 파일을 업로드했다.

사용자가 다운로드한 파일의 압축을 해제한 후 ‘install.exe’를 실행하면 ‘한글2022’ 크랙 설치파일과 함께 악성코드를 외부에서 다운로드 받도록 하는 명령이 사용자 몰래 실행된다. 이때, 사용자의 PC에 V3 설치 여부에 따라 다른 종류의 악성코드가 설치 시도된다.

만약 사용자 PC에 V3가 없다면 원격제어 악성코드인 ‘Orcus RAT’가 다운로드 된다. ‘Orcus RAT’에 감염될 경우 공격자가 사용자 PC를 원격으로 제어할 수 있는 권한을 획득할 수 있다. 공격자는 이 권한을 활용해 추가 명령을 내려 정보 탈취 등 다양한 악성 행위를 수행할 수 있다. V3가 설치돼 있을 경우에는 가상화폐 채굴 악성코드 ‘XMRig’ 설치를 시도한다.