여러 암호화폐 호환하는 지갑 사이트, 잭스 흉내 낸 가짜 사이트 등장
다양한 멀웨어 통해 암호화폐 지갑 비워내는 공격 실시돼...소셜 엔지니어링 공격
[보안뉴스 문가용 기자] 잭스(Jaxx) 암호화폐 지갑을 표적으로 하는 사이버 공격 캠페인이 발견됐다. 공격자들은 정상적인 잭스 사이트를 모방한 웹사이트를 운영함으로써 피해자를 양산하고 있었다고 한다. 보안 업체 플래시포인트(Flashpoint)가 이를 조사해 발표했고, 이 가짜 웹사이트는 현재 닫혀있는 상태라고 한다.
[이미지 = iclickart]
잭스는 이더리움의 공동 창립자이자 디센트럴(Decentral)의 창립자인 안토니 디 아이오리오(Anthony Di Iorio)가 2015년 만든 것으로, 디지털 자산을 관리하려는 사람들을 돕기 위한 목적을 가지고 있다. 데스크톱과 모바일에서 1백 2십만 번이 넘게 다운로드 된 바 있다. 가장 최신 버전인 잭스 리버티(Jaxx Liberty)는 12개가 넘는 암호화폐를 지원한다.
플래시포인트는 악성 행위자들의 공격을 발견하고 잭스 측에 이를 알렸다. 또한 잭스의 원래 사이트를 흉내 낸 가짜 사이트가 호스팅 되어 있는 콘텐츠 배포 네트워크인 클라우드플레어(Cloudflare) 측에도 소식을 전달했다. 가짜 사이트는 8월 19일에 만들어졌으며 jaxx.io(정상 잭스 사이트의 주소)와 비슷해 보이는 URL을 가지고 있고, 실제 잭스 사이트에서 많은 부분을 그대로 복사해왔다. 다만 사용자들을 악성 서버로 우회시키는 기능이 추가되었을 뿐이다.
플래시포인트에 의하면 이 공격은 잭스 모바일 앱이나 디센트럴의 도메인의 취약점 때문에 발생하는 건 아니다. 소셜 엔지니어링을 기반으로 하고 있다. 아직까지 공격을 야기하는 요소가 잭스나 디센트럴 측으로부터 발견되지는 않았다는 것이다. 또한 가짜 잭스 사이트에는 다양한 멀웨어들이 발견됐다. 이 사이트로 잘못 들어온 사용자들의 지갑을 깨끗이 비워내는 역할을 담당하는 것들이었다.
“공격자들이 어떤 식으로 피해자들을 이 가짜 사이트로 유도하는 건지는 확실하지 않습니다. 검색 결과 포이즈닝 공격일 수도 있고 이메일이나 채팅 애플리케이션을 통한 피싱이 활용된 것일 수도 있습니다.” 플래시포인트는 공격자들이 데스크톱 피해자들만을 노렸다고 보고서를 통해 주장했다. “왜냐하면 모바일 사용자가 악성 잭스 사이트로 들어가 다운로드를 눌렀을 경우, 정상 잭스 사이트로 우회되었기 때문입니다.”
그러므로 피해는 윈도우 및 OS X 사용자들에게 집중적으로 나타났다. 가짜 웹사이트에 들어간 사람들은 대부분 진짜 잭스 사이트에 접속한 것으로 믿었고, 컴퓨터에 소프트웨어가 설치되면서 동시에 악성 소프트웨어도 같이 추가되고 있다는 걸 꿈에도 몰랐다.
매킨토시 사용자들 가운데 악성 링크를 클릭한 사람들은 악성 자바 아카이브(Java Archive) 파일을 다운로드 받게 되었다. 이는 PHP로 프로그램 되고 데벨넥스트(DvelNext)로 컴파일 된 것이다. 데벨넥스트는 러시아어로 된 소프트웨어 통합 개발 환경 인터페이스(IDE)다. 이 아카이브는 이번 잭스 캠페인을 염두에 두고 개발된 것으로 보인다.
다운로드 된 JAR이 실행되면 러시아와 영어로 된 메시지가 나타난다. 새 지갑을 만드는 게 잠시 금지된다는 내용이다. 그리고 Pair / Restore Wallet이라는 옵션으로 라우팅 되는데, 잭스 백업 지갑 문구와 지갑을 복호화하는 데 필요한 비밀번호를 요구한다. 이 정보를 활용해 공격자들은 사용자의 계정에서 암호화폐를 빼간다.
한편 윈도우 환경에서는 공격자들이 자체 제작한 닷넷(.NET) 애플리케이션이 다운로드 된다. 악성 기능과 추가 멀웨어 샘플이 포함되어 있다. 악성 기능에는 데스크톱 파일 전부를 C&C 서버로 빼돌리는 것이 있으며, 멀웨어 샘플은 KPOT 스틸러(KPOT Stealer)와 클리퍼(Clipper)로, 러시아 사이버 범죄 포럼에서 판매되는 것들이다. 구글 독스 URL을 클릭해 집 파일을 다운로드 받는 경우도 있었다.
이 닷넷 애플리케이션 역시 이번 캠페인을 위해 특별히 제작된 것으로 보인다. C&C 서버와 접속을 통해 세 개의 실행파일을 다운로드 받는데, 하나는 리버티 베타(Liberty Beta) 설치파일이고, 다른 하나는 KPOT이며, 나머지는 클리퍼다.
KPOT 스틸러는 로컬 하드드라이브에서 정보를 훔쳐가는 것을 기본으로 하는 멀웨어다. 클리퍼는 클립보드를 스캔해서 디지털 지갑 주소가 있는지 확인한다. 주소가 발견되면 공격자의 지갑으로 교체한다. 암호화폐 사용자들이 복사 후 붙여넣기를 주로 하기 때문에 주소가 바뀌더라도 알아채는 경우는 많지 않다고 한다. 그러므로 거래 시 주소를 거듭 확인해보는 것이 중요하다고 플래시포인트는 권고했다.
3줄 요약
1. 잭스 암호화폐 지갑 사이트를 흉내 내는 가짜 사이트 발견됨.
2. 여기에 접속하면 여러 멀웨어가 발동되면서 암호화폐 지갑이 털림.
3. 잭스의 취약점으로 인한 공격은 아니고, 집요한 소셜 엔지니어링 공격임.
[국제부 문가용 기자(globoan@boannews.com)]
다양한 멀웨어 통해 암호화폐 지갑 비워내는 공격 실시돼...소셜 엔지니어링 공격
[보안뉴스 문가용 기자] 잭스(Jaxx) 암호화폐 지갑을 표적으로 하는 사이버 공격 캠페인이 발견됐다. 공격자들은 정상적인 잭스 사이트를 모방한 웹사이트를 운영함으로써 피해자를 양산하고 있었다고 한다. 보안 업체 플래시포인트(Flashpoint)가 이를 조사해 발표했고, 이 가짜 웹사이트는 현재 닫혀있는 상태라고 한다.
[이미지 = iclickart]
잭스는 이더리움의 공동 창립자이자 디센트럴(Decentral)의 창립자인 안토니 디 아이오리오(Anthony Di Iorio)가 2015년 만든 것으로, 디지털 자산을 관리하려는 사람들을 돕기 위한 목적을 가지고 있다. 데스크톱과 모바일에서 1백 2십만 번이 넘게 다운로드 된 바 있다. 가장 최신 버전인 잭스 리버티(Jaxx Liberty)는 12개가 넘는 암호화폐를 지원한다.
플래시포인트는 악성 행위자들의 공격을 발견하고 잭스 측에 이를 알렸다. 또한 잭스의 원래 사이트를 흉내 낸 가짜 사이트가 호스팅 되어 있는 콘텐츠 배포 네트워크인 클라우드플레어(Cloudflare) 측에도 소식을 전달했다. 가짜 사이트는 8월 19일에 만들어졌으며 jaxx.io(정상 잭스 사이트의 주소)와 비슷해 보이는 URL을 가지고 있고, 실제 잭스 사이트에서 많은 부분을 그대로 복사해왔다. 다만 사용자들을 악성 서버로 우회시키는 기능이 추가되었을 뿐이다.
플래시포인트에 의하면 이 공격은 잭스 모바일 앱이나 디센트럴의 도메인의 취약점 때문에 발생하는 건 아니다. 소셜 엔지니어링을 기반으로 하고 있다. 아직까지 공격을 야기하는 요소가 잭스나 디센트럴 측으로부터 발견되지는 않았다는 것이다. 또한 가짜 잭스 사이트에는 다양한 멀웨어들이 발견됐다. 이 사이트로 잘못 들어온 사용자들의 지갑을 깨끗이 비워내는 역할을 담당하는 것들이었다.
“공격자들이 어떤 식으로 피해자들을 이 가짜 사이트로 유도하는 건지는 확실하지 않습니다. 검색 결과 포이즈닝 공격일 수도 있고 이메일이나 채팅 애플리케이션을 통한 피싱이 활용된 것일 수도 있습니다.” 플래시포인트는 공격자들이 데스크톱 피해자들만을 노렸다고 보고서를 통해 주장했다. “왜냐하면 모바일 사용자가 악성 잭스 사이트로 들어가 다운로드를 눌렀을 경우, 정상 잭스 사이트로 우회되었기 때문입니다.”
그러므로 피해는 윈도우 및 OS X 사용자들에게 집중적으로 나타났다. 가짜 웹사이트에 들어간 사람들은 대부분 진짜 잭스 사이트에 접속한 것으로 믿었고, 컴퓨터에 소프트웨어가 설치되면서 동시에 악성 소프트웨어도 같이 추가되고 있다는 걸 꿈에도 몰랐다.
매킨토시 사용자들 가운데 악성 링크를 클릭한 사람들은 악성 자바 아카이브(Java Archive) 파일을 다운로드 받게 되었다. 이는 PHP로 프로그램 되고 데벨넥스트(DvelNext)로 컴파일 된 것이다. 데벨넥스트는 러시아어로 된 소프트웨어 통합 개발 환경 인터페이스(IDE)다. 이 아카이브는 이번 잭스 캠페인을 염두에 두고 개발된 것으로 보인다.
다운로드 된 JAR이 실행되면 러시아와 영어로 된 메시지가 나타난다. 새 지갑을 만드는 게 잠시 금지된다는 내용이다. 그리고 Pair / Restore Wallet이라는 옵션으로 라우팅 되는데, 잭스 백업 지갑 문구와 지갑을 복호화하는 데 필요한 비밀번호를 요구한다. 이 정보를 활용해 공격자들은 사용자의 계정에서 암호화폐를 빼간다.
한편 윈도우 환경에서는 공격자들이 자체 제작한 닷넷(.NET) 애플리케이션이 다운로드 된다. 악성 기능과 추가 멀웨어 샘플이 포함되어 있다. 악성 기능에는 데스크톱 파일 전부를 C&C 서버로 빼돌리는 것이 있으며, 멀웨어 샘플은 KPOT 스틸러(KPOT Stealer)와 클리퍼(Clipper)로, 러시아 사이버 범죄 포럼에서 판매되는 것들이다. 구글 독스 URL을 클릭해 집 파일을 다운로드 받는 경우도 있었다.
이 닷넷 애플리케이션 역시 이번 캠페인을 위해 특별히 제작된 것으로 보인다. C&C 서버와 접속을 통해 세 개의 실행파일을 다운로드 받는데, 하나는 리버티 베타(Liberty Beta) 설치파일이고, 다른 하나는 KPOT이며, 나머지는 클리퍼다.
KPOT 스틸러는 로컬 하드드라이브에서 정보를 훔쳐가는 것을 기본으로 하는 멀웨어다. 클리퍼는 클립보드를 스캔해서 디지털 지갑 주소가 있는지 확인한다. 주소가 발견되면 공격자의 지갑으로 교체한다. 암호화폐 사용자들이 복사 후 붙여넣기를 주로 하기 때문에 주소가 바뀌더라도 알아채는 경우는 많지 않다고 한다. 그러므로 거래 시 주소를 거듭 확인해보는 것이 중요하다고 플래시포인트는 권고했다.
3줄 요약
1. 잭스 암호화폐 지갑 사이트를 흉내 내는 가짜 사이트 발견됨.
2. 여기에 접속하면 여러 멀웨어가 발동되면서 암호화폐 지갑이 털림.
3. 잭스의 취약점으로 인한 공격은 아니고, 집요한 소셜 엔지니어링 공격임.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
_TH.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
