ESET, 다양한 악성기능 보유한 암호화폐 탈취 악성코드 ‘KryptoCibule’ 발견

[보안뉴스 권 준 기자] 최근 눈에 띄지 않으면서 악성 토렌트를 통해 확산되고 여러 속임수를 사용해 피해자로부터 가능한 한 많은 암호화폐를 탈취하는 악성코드가 발견됐다.

사이버 보안 분야 글로벌 기업인 ESET(이셋)의 한국법인 이셋코리아에 따르면 해당 악성코드는 ‘KryptoCibule’로 명명됐으며, 주로 체코와 슬로바키아의 사용자를 대상으로 하는 것으로 분석됐다.


▲KryptoCibule 구성요소 및 도구[자료=ESET]

‘KryptoCibule’은 크게 세 가지 악성행위를 수행하는데, 피해자의 자원을 사용하여 코인을 채굴하고, 클립보드의 지갑 주소를 대체하여 거래를 가로채고, 암호화폐 관련 파일을 추출하는 동시에 탐지를 피하기 위해 통신 인프라에서 토르(Tor) 네트워크와 BitTorrent 프로토콜을 광범위하게 사용하는 등 여러 기법을 악용하고 있는 것으로 드러났다.

해당 악성코드를 발견한 ‘ESET 연구원 Matthieu Faou는 “이 악성코드는 적법한 일부 소프트웨어를 사용한다”며, “Tor 및 Transmission 토렌트 클라이언트와 같은 일부는 설치 프로그램과 함께 번들로 제공되고 Apache httpd 및 Buru SFTP 서버를 포함한 다른 것들은 런타임에 다운로드된다”고 말했다.

ESET은 여러 버전의 ‘KryptoCibule’를 식별해 2018년 12월까지의 발전과정을 추적할 수 있도록 했다. 이 악성코드는 여전히 활동하고 있으며, 새로운 기능들이 정기적으로 추가되고 지속적으로 개발되고 있다고 밝혔다.

피해자의 대부분은 체코와 슬로바키아에서 발견됐는데, 이는 감염된 토렌트가 발견된 사이트의 사용자 기반을 반영하고 있다. 거의 모든 악성 토렌트는 양국에서 인기 있는 파일 공유 사이트인 uloz.to에서 확인할 수 있었다는 게 ESET 측의 설명이다.

Matthieu Faou는 “KryptoCibule는 암호화폐를 얻기 위해 감염된 호스트를 활용하기 위해 암호화폐 채굴, 클립보드 도용, 파일 유출 등 세 가지 기능을 갖추고 있다”며, “아마도 악성코드 운영자는 우리가 찾은 것보다 더 많은 지갑을 훔치고 암호화폐를 채굴해 더 많은 돈을 벌었을 가능성이 있다”고 말했다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>