여러 단계 거쳐 시스템에 침투하는 페이로드...클립보드 감시해
다양한 암호화폐 노려...한 코인에 ‘올인’하기 꺼려하는 공격자
[보안뉴스 문가용 기자] 다양한 암호화폐 코인을 훔치는 멀웨어가 또 새롭게 발견됐다. 이름은 콤보잭(ComboJack)으로 보안 업체 팔로알토 네트웍스(Palo Alto Networks)가 발견해 붙인 것이다. 이 멀웨어는 사용자의 정상적인 지갑 주소를 공격자의 것으로 바꿔치기 하는 기능을 가지고 있다.
[이미지 = iclickart]
콤보잭은 먼저 사용자의 클립보드를 관찰한다. 그리고 주소 정보가 입력되는 것을 노려 공격자의 것으로 바꾼다. 최근 발견된 암호화폐 탈취 멀웨어인 에브리얼(Evrial)이나 크립토셔플러(CryptoShuffler)와 같은 기능이다. 다만 콤보잭은 다양한 종류의 코인들을 동시에 노린다는 차이를 가지고 있다. “비트코인, 라이트코인, 모네로, 이더리움 등 욕심껏 챙기는 멀웨어입니다.”
현재 콤보잭은 스팸 이메일을 통해 표적이 된 사용자들 사이에서 퍼지고 있다. 주로 미국과 일본에서 피해자들이 나오고 있다. 스팸 이메일에는 악성 PDF 파일이 첨부되어 있다. 이 PDF에는 RTF 파일이 엠베드 되어 있고, 이 RTF 파일은 CVE-2017-8579를 익스플로잇 한다. 이 취약점은 2017년 9월 핀피셔(FinFisher)라는 스파이웨어와 관련하여 패치된 바 있다.
이 RTF 문서는 엠베드 된 원격 객체인 HTA 파일을 참조한다. HTA 파일에는 암호화된 파워셸 명령들이 포함되어 있고, 명령의 내용은 최종 악성 페이로드를 다운로드하고 실행시키는 것이다. 이 악성 페이로드는 SFX 포맷으로 압축되어 있고, 압축을 풀면 두 번째 SFX 파일이 나온다. 두 번째 SFX에는 비밀번호가 걸려있고, 이걸 풀면 콤보잭이 등장한다.
콤보잭은 제일 먼저 자신을 ProgramData 폴더로 스스로를 복제하고, attrib.exe라는 윈도우 기본 툴을 사용해 시스템 설정을 바꾼다. 다음으로는 레지스트리 키를 변경해 시스템 내 오래 머물 수 있는 기반을 마련한다.
여기까지 완료되면 콤보잭은 클립보드에 저장되는 내용물을 모니터링한다. 0.5초에 한 번씩 점검해 지갑 정보가 있나 없나를 확인하는 것이다. 지갑 정보가 발견되면, 다른 주소로 이를 바꿔치기 한다. 당연히 공격자가 보유하고 있는 지갑주소다. “지갑주소가 보통 길고 외우기 힘들거든요. 그래서 대부분 클립보드로 복사해 옮겨붙이죠. 그 점을 활용한 공격입니다.”
콤보잭은 이더리움과 모네로, 비트코인, 라이트코인, 키위(Qiwi), 웹머니(WebMoney) 루블 버전, 웹머니 US 달러 버전, 얀덱스 머니(Yandex Money) 등의 지갑주소를 전부 훔쳐간다. 또한 현재까지 밝혀지지 않은 가상화폐 코인도 하나 섞여 있다고 한다.
그 무엇보다 웹머니와 얀덱스를 공격하고 있다는 것을 두고 팔로알토 측은 “기존의 암호화폐 탈취 멀웨어와 상당히 다르다고 말할 수 있다”고 설명한다. “공격자는 어떤 코인이 앞으로 큰 가치를 가지게 될지 도박할 마음이 없습니다. 안전하게 모두를 보유한 후, 가치가 뛰는 것을 위주로 공격을 바꾼다면 훨씬 안전하겠죠. 안전지향형 인간인 듯 합니다.”
팔로알토는 “앞으로 암호화폐의 가치가 계속해서 올라갈 것으로 보이는데, 암호화폐와 관련된 사이버 공격도 덩달아 빈번해질 것이 분명”하다고 경고했다.
[국제부 문가용 기자(globoan@boannews.com)]
다양한 암호화폐 노려...한 코인에 ‘올인’하기 꺼려하는 공격자
[보안뉴스 문가용 기자] 다양한 암호화폐 코인을 훔치는 멀웨어가 또 새롭게 발견됐다. 이름은 콤보잭(ComboJack)으로 보안 업체 팔로알토 네트웍스(Palo Alto Networks)가 발견해 붙인 것이다. 이 멀웨어는 사용자의 정상적인 지갑 주소를 공격자의 것으로 바꿔치기 하는 기능을 가지고 있다.
[이미지 = iclickart]
콤보잭은 먼저 사용자의 클립보드를 관찰한다. 그리고 주소 정보가 입력되는 것을 노려 공격자의 것으로 바꾼다. 최근 발견된 암호화폐 탈취 멀웨어인 에브리얼(Evrial)이나 크립토셔플러(CryptoShuffler)와 같은 기능이다. 다만 콤보잭은 다양한 종류의 코인들을 동시에 노린다는 차이를 가지고 있다. “비트코인, 라이트코인, 모네로, 이더리움 등 욕심껏 챙기는 멀웨어입니다.”
현재 콤보잭은 스팸 이메일을 통해 표적이 된 사용자들 사이에서 퍼지고 있다. 주로 미국과 일본에서 피해자들이 나오고 있다. 스팸 이메일에는 악성 PDF 파일이 첨부되어 있다. 이 PDF에는 RTF 파일이 엠베드 되어 있고, 이 RTF 파일은 CVE-2017-8579를 익스플로잇 한다. 이 취약점은 2017년 9월 핀피셔(FinFisher)라는 스파이웨어와 관련하여 패치된 바 있다.
이 RTF 문서는 엠베드 된 원격 객체인 HTA 파일을 참조한다. HTA 파일에는 암호화된 파워셸 명령들이 포함되어 있고, 명령의 내용은 최종 악성 페이로드를 다운로드하고 실행시키는 것이다. 이 악성 페이로드는 SFX 포맷으로 압축되어 있고, 압축을 풀면 두 번째 SFX 파일이 나온다. 두 번째 SFX에는 비밀번호가 걸려있고, 이걸 풀면 콤보잭이 등장한다.
콤보잭은 제일 먼저 자신을 ProgramData 폴더로 스스로를 복제하고, attrib.exe라는 윈도우 기본 툴을 사용해 시스템 설정을 바꾼다. 다음으로는 레지스트리 키를 변경해 시스템 내 오래 머물 수 있는 기반을 마련한다.
여기까지 완료되면 콤보잭은 클립보드에 저장되는 내용물을 모니터링한다. 0.5초에 한 번씩 점검해 지갑 정보가 있나 없나를 확인하는 것이다. 지갑 정보가 발견되면, 다른 주소로 이를 바꿔치기 한다. 당연히 공격자가 보유하고 있는 지갑주소다. “지갑주소가 보통 길고 외우기 힘들거든요. 그래서 대부분 클립보드로 복사해 옮겨붙이죠. 그 점을 활용한 공격입니다.”
콤보잭은 이더리움과 모네로, 비트코인, 라이트코인, 키위(Qiwi), 웹머니(WebMoney) 루블 버전, 웹머니 US 달러 버전, 얀덱스 머니(Yandex Money) 등의 지갑주소를 전부 훔쳐간다. 또한 현재까지 밝혀지지 않은 가상화폐 코인도 하나 섞여 있다고 한다.
그 무엇보다 웹머니와 얀덱스를 공격하고 있다는 것을 두고 팔로알토 측은 “기존의 암호화폐 탈취 멀웨어와 상당히 다르다고 말할 수 있다”고 설명한다. “공격자는 어떤 코인이 앞으로 큰 가치를 가지게 될지 도박할 마음이 없습니다. 안전하게 모두를 보유한 후, 가치가 뛰는 것을 위주로 공격을 바꾼다면 훨씬 안전하겠죠. 안전지향형 인간인 듯 합니다.”
팔로알토는 “앞으로 암호화폐의 가치가 계속해서 올라갈 것으로 보이는데, 암호화폐와 관련된 사이버 공격도 덩달아 빈번해질 것이 분명”하다고 경고했다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 TH.png)
 TH.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
