뉴스
코인정보
라운지
커뮤니티
TPI 
매체소개
고객센터
1
러시아 기반 이용자들을 노린 것으로 추정되는 악성코드가 마이크로소프트 오피스 확장 프로그램을 위장해 암호화폐 지갑 정보를 탈취하고 있는 것으로 나타났다. 사이버보안 업체 카스퍼스키(Kaspersky)는 이 악성코드가 오픈소스 소프트웨어 공유 플랫폼 소스포지(SourceForge)에 등록된 가짜 오피스 애드인 프로젝트에 포함돼 있다고 8일 밝혔다.
보고에 따르면 해당 악성 프로그램은 ‘오피스패키지(officepackage)’라는 이름으로 등록돼 있으며, 겉보기에는 마이크로소프트 오피스용 애드인을 제공하는 정상 소프트웨어처럼 보인다. 하지만 사용자 클립보드에 복사된 암호화폐 지갑 주소를 해커의 주소로 바꾸는 '클립뱅커(ClipBanker)'라는 악성코드가 숨겨져 있다. 일반적으로 암호화폐 이용자들은 지갑 주소를 수동 입력하기보다는 복사해 사용하는 경우가 많은데, 이 습관을 노린 것이다.
카스퍼스키는 "기기에 ClipBanker가 설치돼 있으면, 사용자가 거래를 위해 복사한 지갑 주소가 해커의 주소로 자동 대체된다"며 "이로 인해 암호화폐가 피해자가 의도하지 않은 곳으로 전송된다"고 경고했다. 이 악성 프로젝트는 정상적인 소프트웨어 개발자 페이지와 유사하게 구성돼 있으며, 검색 결과에서도 노출돼 사용자의 의심을 피할 수 있다.
또한 해당 악성코드는 감염된 장치의 IP 주소, 국가 정보, 사용자명 등 시스템 정보를 확보해 텔레그램 메신저를 통해 공격자에게 전송한다. 뿐만 아니라 이미 설치돼 있는 경우나 백신 소프트웨어가 탐지되면 스스로를 삭제하는 기능도 갖췄다.
공격자들은 사용자들이 진짜 소프트웨어로 착각하도록 일부 설치 파일 크기를 비정상적으로 작게 만들거나, 불필요한 코드로 파일을 부풀리는 방식으로 위장하고 있다. 카스퍼스키는 "이번 공격은 암호화폐를 겨냥해 클립뱅커와 채굴 악성코드를 동시에 배포하고 있으며, 이후 감염된 기기에 대한 접근 권한을 더 위험한 범죄자들에게 판매할 가능성도 있다"고 분석했다.
해당 악성코드의 인터페이스는 러시아어로 구성되어 있어 러시아어 사용자층을 주된 타깃으로 한 것으로 보인다. 실제로 1월 초부터 3월 말까지 이 공격에 노출된 잠재 피해자의 90%가 러시아 사용자인 것으로 나타났다. 이 기간 동안 총 4,604명이 공격에 노출됐다.
카스퍼스키는 "소프트웨어는 반드시 공식 유통 경로를 통해 다운로드해야 하며, 특히 해적판 소프트웨어나 비공식 다운로드 링크를 경유할 경우 악성코드에 감염될 가능성이 높다"고 강조했다. 이어 "공격자들은 점점 정교하게 위장한 사이트와 배포 파일로 사용자들을 속이려 시도하고 있다"고 덧붙였다.
암호화폐 이용자를 겨냥한 악성코드는 최근 다양한 경로에서 확산되고 있다. 보안업체 쓰렛패브릭(ThreatFabric)은 지난달 28일, 안드로이드 장치 화면 위에 피싱용 가짜 입력창을 띄워 지갑 복구 구문(seed phrase)을 빼내는 신종 악성코드를 발견했다고 보고했다. 이 악성코드는 기기 제어권까지 탈취할 수 있는 기능을 가졌다.
