보안업체 카스퍼스키는 소프트웨어 호스팅 웹사이트 소스포지(SourceForge)를 통해 암호화폐 사용자를 표적으로 삼는 새로운 악성코드가 있다고 경고했습니다. 최근 발표된 자료에 따르면, 소스포지 웹사이트의 '오피스 패키지(Office Package)'라는 소프트웨어 프로젝트에 암호화폐 사용자를 대상으로 하는 주소 변조 악성코드가 포함되어 있다고 합니다.
보고서에 따르면 해당 오피스 패키지 소프트웨어는 마이크로소프트 오피스 추가 기능을 포함하는 합법적인 프로젝트입니다. 그러나 자세히 조사해 보면 해당 패키지에 포함된 다운로드 링크가 실제와 다른 URL로 연결되는 것으로 드러납니다.
거기에는 이렇게 적혀 있었습니다:
"조사 대상 프로젝트에는 officepackage.sourceforge[.]io라는 도메인이 할당되었지만, 해당 도메인으로 이동했을 때 표시되는 페이지는 sourceforge.net의 officepackage 페이지와는 전혀 다릅니다."
흥미롭게도, 악성코드 다운로드 과정은 상당히 복잡하여 사용자는 파일을 다운로드하기 전에 세 개의 URL을 거쳐야 합니다. 이러한 복잡한 과정은 사용자가 정상적인 애플리케이션을 다운로드하고 있다고 믿도록 유도하기 위한 수법의 일부인 것으로 보입니다.
카스퍼스키 보안 전문가들은 최종 설치 파일인 installer.msi가 악의적인 공격자들이 실제 소프트웨어 설치 프로그램처럼 보이도록 크기를 부풀린 700MB 파일이라고 지적했습니다. 불필요한 바이트를 제거하면 실제 크기는 7MB에 불과합니다.
설치 프로그램을 실행하면 사용자는 자신도 모르게 두 가지 악성 애플리케이션, 즉 채굴 프로그램과 클립뱅커(ClipBanker)를 기기에 설치하게 됩니다. 클립뱅커는 클립보드에 복사된 암호화폐 주소를 공격자의 주소로 바꿔치기하여 사용자가 잘못된 주소로 자금을 송금하도록 유도하는 주소 오염 공격을 가능하게 합니다.
보안 전문가들은 다음과 같이 썼습니다
"이번 캠페인의 핵심 악성 행위는 두 개의 AutoIt 스크립트를 실행하는 것입니다. Icon.dll은 AutoIt 인터프리터를 재시작하고 마이너를 주입하며, Kape.dll은 동일한 작업을 수행하지만 ClipBanker를 주입합니다."
한편, 그들은 또한 이번 공격이 주로 러시아를 표적으로 삼았다는 점도 지적했습니다. 이를 뒷받침하는 증거로 officepackage.sourceforge[.]io 사이트의 러시아어 인터페이스와 1월부터 3월 말까지 악성코드에 감염된 4,604명의 사용자 중 90%가 러시아인이라는 사실을 들 수 있습니다.
주소 독극물 사기 증가
카스퍼스키 보고서는 여러 블록체인 보안 업체들이 보고한 바와 같이 암호화폐 사용자들을 대상으로 한 주소 포이즈닝 공격이 최근 증가하고 있는 추세와 일치합니다. 스캠 스니퍼(Scam Sniffer)의 데이터에 따르면 3월에 발생한 세 번째로 큰 피싱dent 주소 포이즈닝 때문이었습니다.
Cyvers는 또한 주소 변조 사기로 인해 3월 첫 3주 동안 120만 달러 이상의 손실이 발생했으며, 이는 2월의 180만 달러에 더해진 수치라고 보고했습니다. 이 회사는 자사의 AI 위협 탐지 시스템이 주소 변조 공격의 증가를dent밝혔습니다.
대부분의 주소 변조 공격은 공격자가 피해자에게 자주 사용하는 주소와 유사한 주소로 소액 거래를 수동으로 전송하는 방식으로 이루어지지만, 클립보드에서 주소를 변경할 수 있는 정교한 악성 소프트웨어를 사용하는 사례는 악의적인 행위자들이 계속해서 진화하고 있음을 보여줍니다.
보안 전문가들은 이 문제에 대한 가장 중요한 해결책은 사용자들이 신뢰할 수 없는 출처에서 소프트웨어를 다운로드하지 않는 것이라고 생각합니다. 그들은 악의적인 공격자들이 악성 프로그램을 배포하기 위해 비공식 소프트웨어 웹사이트를 악용하는 경우가 많으므로, 그러한 웹사이트를 이용하는 사람들은 위험성을 인지해야 한다고 지적했습니다.
하지만 그들은 이 악성 소프트웨어가 공격자들이 감염된 시스템에 접근할 수 있는 독창적인 방법을 제공한다는 점에서 훨씬 더 큰 문제를 야기한다고 지적했습니다. 따라서 제작자들이 암호화폐 사용자들을 대상으로 하는 것 외에도 이 악성 소프트웨어를 더 위험한 악의적인 행위자들에게 판매하여 다른 용도로 사용할 가능성이 있습니다.
