본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

틱톡 조회수 늘리기 프로그램을 위장한 Quasar RAT 주의!

보안공지 2023-03-06

틱톡 조회수 늘리기 프로그램을 위장한 Quasar RAT이 발견되었습니다. 

틱톡(TikTok)은 15초~ 수 분 길이의 비디오 영상을 제작 및 공유할 수 있는 숏폼 동영상 플랫폼입니다. 많은 사용자들은 틱톡 플랫폼 내에서 인플루언서가 되기를 희망하며, 일부 사용자들의 경우 인플루언서가 되기 위하여 프로그램을 이용하여 인위적으로 팔로워 혹은 동영상 조회수를 늘리고자 시도합니다. 

ESRC가 이번에 수집한 악성 파일은 틱톡 팔로워 및 동영상 조회수를 늘려주는 프로그램을 위장하고 있으며, '틱톡 뷰 봇'이라는 이름으로 깃허브(Github)에 업로드 되어 있습니다. 

 

[그림 1] 틱톡 뷰 봇을 위장한 깃허브 프로젝트

 

[그림 2] 틱톡 뷰 봇 프로젝트 파일


여기에서 주목할만한 점은, 틱톡 봇을 위장한 악성코드의 유포 방식이 원노트(.one) 파일을 통해 유포되는 악성코드처럼 배치파일(.bat)을 통해 유포된다는 점 입니다. 


최근 공격자들이 다양한 형태로 악성 배치파일 유포 및 실행을 유도하고, 이를 통해 악성코드 유포를 시도하고 있는 만큼 사용자들의 주의가 요구되고 있습니다. 

 

 

[그림 3] 틱톡 뷰 봇을 위장한 배치파일(좌) 및 원노트로 유포되고 있는 배치파일(우)

 

사용자가 배치파일 실행 시 암호화 되어있는 내부 명령을 수행하며, 최종적으로 Quasar RAT을 실행합니다. 

 

[그림 4] 복호화 된 파워쉘 명령어

 

[그림 5] 최종 실행되는 Quasar RAT

 

Quasar RAT은 오픈소스 RAT 악성코드로 사용자 계정 및 사용자 환경 정보 수집이 가능하며, 원격 코드실행 및 파일 업/다운로드 등 추가 악성행위가 가능합니다. 

현재 알약에서는 해당 악성코드에 대해 Trojan.Downloader.BAT.A, Backdoor.MSIL.Quasar.gen로 탐지중에 있습니다. 


IoC

b1710063da023b2a8d77927ef2ae137d
e373700f9f0fa548bbcf2a22e9e8a3c0 
9e777fd3e4031a743b949766cb1bcdd6