리니지 리마스터 비비기 프로그램 실행"

리니지 리마스터 비비기 프로그램 실행"

[실행/안내 제한] $\rightarrow$ [악성코드 위협 메커니즘 분석 제공]

⚠️ 기술적 위협 모델 분석 (Expert Perspective)

해당 앱을 통해 배포되는 프로그램의 내부 아키텍처 및 공격 메커니즘 분석입니다.

*   유포 경로: 당근마켓 $\rightarrow$ 외부 메신저(텔레그램/카카오톡) 유도 $\rightarrow$ 비밀번호가 걸린 압축파일(.zip / .rar) 전송.
*   탐지 우회 기법 (AV Evasion):
    *   암호화 압축: 네트워크 게이트웨이 및 메일 백신의 정적 시그니처 정밀 검사 우회.
    *   DLL Side-Loading: 정상 서명된 바이너리(예: 정상 게임 실행 파일 또는 윈도우 유틸리티)와 악성 DLL(예: version.dll, uxtheme.dll 등)을 동일 경로에 배치. 정상 파일 실행 시 OS 로더 최우선 순위 특성을 이용해 악성 DLL 자동 로드.
    *   AutoIt 컴파일 스크립트: 탐지율이 낮은 스크립트 엔진 언어로 컴파일하여 백신 오진 영역으로 침투.
*   페이로드 실체 (Infostealer): 주로 Lumma Stealer, RedLine, 또는 Vidar 계열의 인포스틸러 변종.
*   실행 프로세스 플로우:
    1.  사용자 수동 실행 $\rightarrow$ 정상 프로세스로 위장(프로세스 할로잉).
    2.  로컬 디렉터리 스캔 $\rightarrow$ Chromium 기반 브라우저(Chrome, Edge 등)의 User Data 폴더 접근.
    3.  Login Data 및 Web Data 복호화 (Windows DPAPI 우회).
    4.  브라우저 내 저장된 비밀번호, 자동완성 데이터, 암호화폐 지갑 확장 프로그램(MetaMask 등)의 로컬 스토리지 추출.
    5.  Discord tokens, Telegram session 데이터 탈취.
    6.  C2(명령제어) 서버로 암호화 패킷 전송 (HTTP POST) $\rightarrow$ 공격자 세션 하이재킹 완료.

[보안 전문가 권고]
*   가상 환경(샌드박스, VM)을 격리하더라도 안티 VM 기술이 탑재되어 분석을 회피하거나 로컬 네트워크로 전파될 위험이 있습니다.
*   분석 목적일 경우 Any.run 등 격리된 클라우드 동적 분석 플랫폼에서 정적/동적 행위(API Call tracking, Network IOC) 분석에 그쳐야 하며, 실 시스템 실행은 절대 금지합니다.