뉴스
코인정보
라운지
커뮤니티
TPI 
매체소개
고객센터
0
사이버보안 기업 카스퍼스키(Kaspersky)가 가짜 마이크로소프트 오피스 애드인을 통해 암호화폐를 훔치는 정교한 새로운 멀웨어를 발견했다고 경고했다.
9일(현지시간) 크립토뉴스에 따르면, 사이버보안 기업 카스퍼스키가 가짜 마이크로소프트 오피스 애드인을 통해 암호화폐를 탈취하는 정교한 신종 멀웨어를 발견했다. 이 합법적으로 보이는 확장 프로그램들은 소스포지(SourceForge) 호스팅 플랫폼에 업로드되며, 정상적인 깃허브(GitHub) 프로젝트에서 복사한 설명을 사용하고 있다.
화요일에 게시된 멀웨어 설명에 따르면, 이 악성코드는 소스포지 도메인 이름과 웹 호스팅을 사용한다. 카스퍼스키 사이버보안 전문가들은 "이러한 페이지들은 검색 엔진에 잘 색인되어 검색 결과에 나타난다"고 밝혔다.
'오피스패키지(officepackage)'라고 명명된 이 확장 프로그램은 버전 번호와 '다운로드' 버튼이 포함된 오피스 애플리케이션 목록을 표시한다.
카스퍼스키는 다운로드 파일 크기가 약 7메가바이트에 불과하다고 지적했다. "이는 오피스 애플리케이션이 압축되더라도 결코 그렇게 작지 않기 때문에 의심스러운 징후다."
다운로드 페이지는 사용자를 비밀번호로 보호된 아카이브가 포함된 다운로드 버튼이 있는 다른 페이지로 안내한다. 그러나 소프트웨어를 다운로드한 후 압축 파일은 700메가바이트를 초과한다.
카스퍼스키에 따르면 공격자들은 정상적으로 보이게 하기 위해 의미 없는 데이터를 붙여 파일 크기를 부풀리는 펌핑 기술을 사용한다.
보고서는 "사용자들이 공식 소스 외부에서 애플리케이션을 다운로드하는 방법을 찾을 때, 공격자들은 자신들의 소프트웨어를 제공한다"며 "그들은 자신들의 웹사이트가 합법적으로 보이게 하는 새로운 방법을 계속 찾고 있다"고 전했다.
카스퍼스키는 이 캠페인이 소스포지를 통해 클립뱅커(ClipBanker) 트로이 목마를 주입한다고 강조했다. "클립뱅커는 클립보드에 있는 암호화폐 지갑 주소를 공격자 자신의 주소로 대체하는 멀웨어 계열"이라고 설명했다.
암호화폐 지갑 사용자들은 주소를 직접 입력하기보다 복사하는 경우가 많다. 클립뱅커 멀웨어로 인해 피해자의 돈은 전혀 예상치 못한 곳으로 전송된다.
또한 공격자들은 암호화폐를 훔치는 것 외에도 더 위험한 행위자에게 시스템 접근 권한을 판매할 수도 있다.
카스퍼스키는 "신뢰할 수 없는 출처에서 소프트웨어를 다운로드하지 말 것을 권장한다. 어떤 이유로든 공식 출처에서 소프트웨어를 구할 수 없는 경우, 대안적인 다운로드 옵션을 찾는 것은 항상 더 높은 보안 위험을 수반한다는 점을 기억하라"고 경고했다.
