마이크로소프트는 윈도우 암호화 클리퍼가 Tor와 USB 드라이브를 통해 시드 구문, 키 및 지갑 정보를 탈취한다고 경고했습니다

마이크로소프트는 지난 2월부터 조용히 활동하며 윈도우 운영체제를 공격하는 악성 프로그램을 발견했다고 발표했습니다. 크립토밴디츠(CryptoBandits)라는 이름의 이 악성 프로그램은 토르(Tor) 네트워크를 통해 시드 구문, 암호화 키, 지갑 정보를 탈취할 수 있으며 USB 드라이브를 통해 전송될 수 있습니다. 

블로그 글 마이크로소프트 위협 인텔리전스 및 마이크로소프트 디펜더 전문가들은 피해자들이 알아채지 못하게 암호화폐 지갑에서 자금을 빼돌리는 악성 캠페인을 공개했습니다. 마이크로소프트 보안 전문가들은 이 악성 프로그램이 수개월 동안 탐지되지 않도록 하기 위해 구식 USB 웜 공격 방식과 최신 익명화 도구를 결합했다고 밝혔습니다.

연구원들에 따르면, 해당 악성 프로그램은 클립보드 탈취, 지갑 주소 변경, 웜처럼 확산되는 기능, 그리고 Tor 기반 통신을 하나의 프로그램으로 실행할 수 있었습니다. 또한, 악성 코드가 실행된 후에도 오랫동안 로컬 컴퓨터에 대한 접근 권한을 유지했습니다. 

마이크로소프트는 감염이 어떻게 실행되는지 설명합니다

마이크로소프트의 상세한 블로그 게시글에 따르면, 이번 감염은 USB 메모리를 통한 구식 방식으로 시작되었습니다. 악성 프로그램은 이동식 드라이브에 저장된 바로가기 파일에 접근한 후, 컴퓨터에 연결하면 즉시 활성화됩니다. 

웜은 기기에서 DOC, 스프레드시트, PDF와 같은 일반 파일을 찾아내어 실제 파일을 숨기고 동일한 이름의 가짜 바로가기 파일로 대체합니다. 이렇게 되면 아무것도 모르는 윈도우 사용자는 일반적인 워드나 엑셀 파일을 여는 줄 알고 바로가기 파일을 클릭하게 되는데, 이 과정에서 악성코드가 실행됩니다.

악성 프로그램은 컴퓨터의 USB 드라이브로 확산되어 재부팅 후에도 계속 실행되도록 예약 작업을 설정하고 Microsoft Defender 검사에서 스스로를 제외합니다. 

두 번째 단계에서 실제 클리퍼가 활성화되면 스크립트 기반 페이로드는 일반적인 설치 프로그램 대신 Windows ScriptHost 및 ActiveX 개체를 사용하므로 탐지하기가 매우 어렵습니다. 

모든 설정이 완료되면 악성 프로그램은 숨겨진 창에서 Tor 클라이언트를 실행하고 고유한 피해자 ID를 생성한 다음, Tor Onion 주소 뒤에 숨겨진 명령 및 제어 서버에 자신을 등록합니다. 이렇게 하면 악성 프로그램은 탐지되지 않고 해당 숨겨진 채널을 통해 정보를 성공적으로 전송할 수 있습니다. 

마이크로소프트는 이 악성코드를 탐지하기 어려운 이유에 대해 다음과 같이 설명했습니다

마이크로소프트 보안팀은 해당 악성 프로그램이 약 0.5초마다 운영자를 폴링하고 클립보드를 스캔하는 루프에 빠진다고 설명했습니다. 이 프로그램은 특히 12단어 또는 24단어로 구성된 BIP39 시드 구문을 인식하도록 개발되었습니다. 

해당 악성 프로그램은 Ethereum 키와 Bitcoin ​​WIF 형식의 개인 키를 검색하여 로컬에 백업한 후, Tor 네트워크를 통해 공격자의 서버로 전송합니다. 전송이 성공할 때까지 동일한 일련의 과정을 여러 번 반복하도록 설계되었습니다. 프로그램은 전송이 성공적으로 완료된 후에만 로컬 복사본을 삭제하고, 매초마다 여러 장의 스크린샷을 촬영하여 공격자가 피해자의 지갑 잔액과 활동 내역을 시각적으로 확인할 수 있도록 합니다. 

지갑 주소가 클립보드에 복사되면 악성 프로그램은 피해자가 붙여넣기 전에 공격자가 제어하는 ​​주소로 바꿔치기할 수 있습니다. Bitcoin ​​주소를 복사해서 결제하려고 하면 실제로 수신자 필드에 입력되는 주소는 전혀 다른 사람의 것일 수도 있습니다.

Microsoft Defender Antivirus는 이제 해당 위협을 Trojan:Win32/CryptoBandits.A로 표시하며, Defender for Endpoint는 의심스러운 JavaScript 프로세스 및 curl 기반 데이터 유출과 같은 동작을 감시합니다.