디스코드 초대 링크로 위장한 악성코드 유포 주의보

게이머들 사이에서 필수 소통 도구로 자리 잡은 디스코드를 빙자한 악성코드 유포 사례가 확인됐다.

해외 보안 업체 체크포인트 리서치에 따르면, 최근 만료되거나 삭제된 디스코드 초대 링크를 재활용해 악성 서버로 유도하는 수법이 보고되고 있다. 공격자들은 디스코드의 '자유로운 이름의 초대 링크 생성' 기능을 악용해, 기존의 '일시적 소개 링크'와 동일한 URL을 가진 악성 초대 링크를 만든다. 해당 링크는 언뜻 정상적인 서버 초대 링크처럼 보이지만, 실제로는 악성코드를 유포하는 서버다.

해당 서버에 접속하면 '#verify'라는 채널 외에는 아무것도 없는 화면이 나타난다. 해당 채널에 표시되는 'Verify' 버튼은 가짜로, 클릭하는 순간 악성 윈도우 파워셸 실행 코드가 클립보드에 복사된다. 이후 화면에는 '인증 실패 및 재개 절차'라는 메시지가 나타나며, 사용자에게 복사된 악성코드를 직접 실행하도록 유도한다. '윈도우 키+R'을 눌러 실행 기능을 연 후 클립보드에 복제된 악성코드 설치를 붙여넣게끔 하는 것이다. 이러면 사용자 PC에 악성코드가 설치되고 정보를 유출시킨다. 사용자 본인이 '실행' 기능을 사용하기에, 기존 백신 소프트웨어로도 탐지가 어렵다.

테크레이더와 PC게이머 등 복수의 해외 IT 매체는 '심즈 4' 불법 복제 관련 커뮤니티에서 유사한 공격 수법을 사용하는 악성 디스코드 서버가 발견됐다고 보도했다. 공격에 사용된 악성코드에는 감염된 시스템을 원격 제어하는 'AsyncRAT'과 사용자 자격 증명 및 암호화폐 지갑 데이터를 탈취하도록 맞춤 제작된 'Skuld Stealer' 변종이 포함된 것으로 알려졌다. 특히 'Skuld Stealer'는 암호화폐 지갑 시드 구문과 비밀번호까지 탈취해 피해자의 디지털 자산에 대한 완전한 통제권을 가져간다.

보안 업체 체크포인트 리서치는 "디스코드의 취약점을 악용하는 이러한 공격이 사용자를 속여 다단계 악성코드 공격을 실행한다"고 경고했다. 또한 공격자들이 클라우드 서비스(Pastebin, GitHub, Bitbucket 등)를 이용해 페이로드를 여러 단계로 나누어 전달함으로써, 정상적인 네트워크 트래픽처럼 위장해 탐지를 우회한다고 덧붙였다.

따라서 국내 게이머들에게도 디스코드 초대 링크를 주의해야 할 필요성이 제기된다. 여기에 예상치 못한 스크립트를 실행하게끔 유도하거나, 의심스러운 인증 절차를 요구한다면 즉시 빠져나가야 한다. 특히 디스코드에서 사용되지 않는 '윈도우 키+R' 입력과 같은 비정상적인 지시를 내리는 경우 악성코드 실행 가능성이 매우 높다.