암호화폐를 훔치는 5가지 새로운 맬웨어 기술(2024)

사이버 범죄자들은 혁신을 멈추지 않으며, 특히 암호화폐에 끌립니다. 아마도 여러분은 밟을 지뢰가 몇 개인지 모른 채 인터넷을 즐겁게 탐험하고 있을 것입니다. 암호화폐 자금을 보호하는 것과 관련해서는 조심하고 최신 보안 동향을 최신 상태로 유지하는 것이 결코 해롭지 않습니다.

이 악의적인 당사자들의 사업이 얼마나 큰지 알려드리자면, 연쇄 분석 , 2023년에 불법적인 암호화폐 주소로 약 242억 달러가 수신되었습니다. 다음 숫자에 포함되지 마세요! 올해 알아야 할 새로운 맬웨어 기술과 이를 방지하는 방법을 살펴보겠습니다.

MacOS의 백도어

비공식 사이트에서 애플리케이션을 다운로드하는 것은 좋은 생각이 아니며, 이는 그 이유를 잘 보여주는 예입니다. 사이버 보안 회사 Kaspersky Lab 발견하다 올해 초에는 토런트와 불법 복제 웹사이트에서 이용할 수 있는 불법 복제 소프트웨어에 숨겨진, macOS 사용자의 암호화폐 지갑을 표적으로 삼는 새로운 위협이 발견되었습니다.

사용자가 이러한 무료처럼 보이는 프로그램을 설치하면 자신도 모르게 컴퓨터에 맬웨어가 설치되도록 허용하게 됩니다. 첫 번째 단계는 "Activator"라는 앱과 관련이 있으며, 사용자에게 관리자 권한을 제공하도록 요청합니다. 이를 통해 맬웨어는 스스로를 설치하고 불법 복제 소프트웨어의 정상적인 기능을 비활성화하는 데 필요한 권한을 부여받아, 사용자는 소프트웨어를 작동시키기 위해 이 Activator가 필요하다고 생각하게 속입니다.

일단 설치되면, 맬웨어는 원격 서버에 연결하여 추가 악성 지침을 다운로드합니다. 이러한 지침은 맬웨어가 백도어를 만드는 데 도움이 되어 해커가 감염된 컴퓨터에 지속적으로 액세스할 수 있게 합니다. 이 맬웨어의 주요 목표는 암호화폐를 훔치는 것입니다. Exodus 및 Bitcoin-Qt와 같은 합법적인 지갑 앱을 감염된 버전으로 대체합니다.

그런 다음 이러한 변경된 앱은 복구 문구 및 지갑 비밀번호와 같은 민감한 정보를 캡처하여 해커에게 전송하여 효과적으로 암호화폐 자금을 고갈시킵니다. '무료' 앱을 얻은 직후에 의심스러운 "Activator" 설치 프로그램이 나타났습니까? 액세스 권한을 제공하지 말고 즉시 제거하세요!

Vortax, Web3 Games 및 “Markopolo”

Vortax 캠페인은 암호화폐 사용자를 대상으로 하는 사기성 맬웨어 작전으로, Recorded Future의 연구원들이 발견했습니다. 이 캠페인의 배후에 있는 사이버 범죄자들은 이 계획 가짜이지만 합법적으로 보이는 앱을 사용하여 Windows와 macOS 기기를 모두 정보 도용 맬웨어로 감염시킵니다. Vortax라는 가상 회의 소프트웨어로 가장한 이 앱은 검색 엔진에서 색인된 웹사이트, AI가 생성한 기사가 있는 블로그, X, Telegram, Discord와 같은 플랫폼의 소셜 미디어 계정으로 신뢰할 수 있는 것처럼 보입니다. 위협 행위자는 잠재적 피해자와 암호화폐를 주제로 한 토론에 참여하여 가상 회의에 참여한다는 명목으로 Vortax 앱을 다운로드하도록 지시합니다.

사용자가 제공된 지침을 따르면 Vortax 소프트웨어를 설치하는 다운로드 링크로 리디렉션됩니다. 그러나 작동하는 앱 대신 설치 파일은 Rhadamanthys, Stealc 또는 Atomic Stealer(AMOS)와 같은 맬웨어를 제공합니다. Vortax 앱은 의도적인 오류로 인해 작동하지 않는 것처럼 보이지만 백그라운드에서 맬웨어는 비밀번호와 시드 문구를 포함한 민감한 정보를 훔치기 시작합니다. 추가 조사 결과 Vortax 캠페인은 유사한 악성 애플리케이션과 가짜 web3 게임을 호스팅하는 여러 도메인과 연결되어 있으며, 이는 Markopolo로 식별된 위협 행위자의 잘 조직된 노력을 시사합니다.

Markopolo의 전략에는 악성 소프트웨어를 배포하기 위해 소셜 미디어와 메시징 플랫폼을 활용하는 것이 포함됩니다. 또한 위장하다 VDeck, Mindspeak, ArgonGame, DustFighter, Astration과 같은 브랜드와 게임처럼. 이 전략은 도달 범위를 넓힐 뿐만 아니라 사용자가 악성 소프트웨어를 다운로드하도록 속을 가능성도 높입니다. 이 캠페인의 정교함과 적응성은 향후 공격이 더욱 만연해질 수 있음을 의미하며, 특히 의심스럽게 고집하는 것처럼 보이는 경우 사용자가 타사 소프트웨어를 다운로드할 때 주의해야 할 필요성을 강조합니다.

Python 개발자를 위한 함정, Pytoileur

Sonatype 연구원들은 "pytoileur"라는 악성 Python 패키지를 통해 암호화폐 사용자를 표적으로 삼는 새로운 위협을 발견했습니다. 합법적인 API 관리 도구로 위장한 pytoileur는 사용자를 속여 Python Package Index(PyPI)에서 다운로드하게 합니다. 이 패키지가 설치되면 피해자의 기기에 저장된 민감한 정보에 액세스하여 암호화폐를 훔치도록 설계된 유해한 소프트웨어를 비밀리에 검색하여 설치합니다.

악성 패키지 겉보기에 무해한 코드 안에 교묘하게 숨겨져 있었습니다. 위험한 실행 파일을 다운로드했는데, 실행되면 다양한 악의적인 활동을 수행했습니다. 여기에는 시스템 설정 수정, 감지되지 않도록 장치에 존재 유지, 그리고 가장 중요한 것은 Binance, Coinbase, Crypto.com과 같은 인기 있는 서비스와 관련된 지갑과 계정에서 암호화폐를 훔치려는 시도가 포함되었습니다 . 브라우저 데이터와 기타 재무 세부 정보에 액세스함으로써 맬웨어는 피해자의 지식 없이 디지털 자산을 빼돌릴 수 있습니다.

pytoileur의 배포에는 Stack Overflow와 같은 커뮤니티 플랫폼을 악용하여 개발자가 기술 문제를 해결한다는 명목으로 패키지를 다운로드하도록 유인하는 등 사회 공학적 전술이 포함되었습니다. 이 사건은 더 광범위한 "Cool 패키지" 캠페인의 일부로, 사이버 범죄자들이 정교하고 진화하는 방법을 통해 암호화폐 사용자를 표적으로 삼으려는 지속적인 노력을 나타냅니다. 또 다른 보안 회사인 Mend.io는 식별했다 PyPI 라이브러리에 악성 패키지가 100개 이상 있습니다.

개발자는 신뢰할 수 있는 출처에서 다운로드하고, 패키지 무결성을 확인하고, 사용 전에 코드를 검토하여 악성 패키지를 피할 수 있습니다. 보안 권고 사항을 최신 상태로 유지하고 자동화된 보안 도구를 사용하는 것도 도움이 됩니다.

P2PInfect, 떼지어 나타나는 위협

Cado Security에서 식별한 P2Pinfect는 제어를 위해 피어투피어 봇넷을 활용하는 정교한 맬웨어입니다. 즉, 이 맬웨어는 컴퓨터가 네트워크에 속하는지 감지하고 연결된 모든 장치를 감염시켜 중앙 서버에 의존하지 않고 직접 통신하고 제어합니다. 처음에는 잠복해 있던 것으로 보였지만, 업데이트된 형태에는 이제 랜섬웨어와 암호화폐 채굴 기능이 포함됩니다.

감염시 , 주로 인기 있는 데이터베이스 시스템인 Redis의 취약성을 통해 확산되어 맬웨어가 임의의 명령을 실행하고 연결된 시스템 전체에 전파될 수 있도록 합니다. 봇넷 기능은 업데이트를 빠르게 배포하고, 예를 들어 회사 전체에서 손상된 장치의 광범위한 네트워크를 유지합니다.

피해자는 일반적으로 안전하지 않은 Redis 구성이나 일반적인 자격 증명을 사용하여 원격 시스템을 관리하려는 제한된 SSH(Secure Shell) 시도를 통해 P2Pinfect에 직면합니다. 피해자의 시스템에서 활성화되면 P2Pinfect는 Monero 암호화폐를 타겟으로 하는 암호화폐 채굴자를 설치합니다. 이 채굴자는 잠시 지연된 후 활성화되고 시스템 리소스를 사용하여 암호화폐를 생성하여 은밀하게 수익을 공격자의 지갑으로 유입하고 장치의 기능을 늦춥니다.

랜섬웨어 구성 요소는 파일을 암호화(차단)하고 이를 검색하기 위해 암호화폐 지불을 요구하지만, 감염된 Redis 서버의 일반적인 권한으로 인해 그 효과는 제한적입니다. 공격자의 Monero 지갑은 약 71 XMR을 축적했는데, 이는 약 12,400달러에 해당합니다. 이는 Redis에 저장된 일반적인 저가치 데이터로 인해 랜섬웨어의 잠재적으로 제한적인 영향에도 불구하고 캠페인의 재정적 성공을 보여줍니다. 이 맬웨어를 피하려면 Redis 구성을 보호하고 비정상적인 활동을 정기적으로 모니터링하는 것을 잊지 마세요.

가짜 AggrTrade 및 기타 악성 확장 프로그램

보안 회사 SlowMist가 설명한 가짜 AggrTrade Chrome 확장 프로그램은 사용자를 속여 상당한 양의 암호화폐를 잃도록 만든 악성 도구였습니다. 이 확장 프로그램은 합법적인 거래 도구(AggrTrade)로 위장했지만 자금을 훔치기 위해서만 설계되었습니다. 사용자는 모르게 이를 설치했고, 이후 민감한 정보(비밀번호 및 자격 증명)를 하이재킹하여 암호화폐 거래소 및 거래 플랫폼에 대한 액세스를 악용했습니다.

확장 쿠키와 기타 세션 데이터를 캡처하여 사용자의 로그인을 모방하고 무단 거래를 수행함으로써 작동했습니다. 이로 인해 총 약 100만 달러가 도난당했습니다. 소셜 미디어와 마케팅 프로모션을 통한 사기성 전술을 통해 배포되어 피해자가 종종 비공식적이거나 의심스러운 출처에서 다운로드하여 설치하도록 유도했습니다.

이 특정 위협은 이미 제거되었지만, 그것은 수많은 시도들 중 빈약한 예일 뿐입니다. 현재, 다른 여러 악성 크롬 확장 프로그램 암호화폐를 훔치는 것을 목표로 하는 진짜 거래 서비스인 것처럼 가장하고 있습니다. 자신을 보호하려면 신뢰할 수 있는 출처의 확장 프로그램만 설치하고, 권한을 정기적으로 확인하고, 비정상적인 활동이 있는지 계정을 모니터링하세요.

또한 모든 브라우저 확장 프로그램은 전체 검색 기록을 추적하고, 각 사이트에서 무엇을 하고 있는지 보고, 쿠키 및 기타 개인 데이터를 훔칠 수 있다는 점을 기억하세요. 상당한 양의 하드웨어 또는 종이 지갑을 사용하고 보안 소프트웨어를 최신 상태로 유지하는 것도 이러한 위협으로부터 보호 기능을 강화할 수 있습니다.

보호 조치

이러한 암호화폐를 훔치는 맬웨어로부터 보호하려면 다음과 같은 기본적인 조치를 적용할 수 있습니다.

• 신뢰할 수 있는 출처에서 설치: 평판이 좋은 출처와 공식 웹사이트의 확장 프로그램과 소프트웨어만 사용하세요. 설치 전에 리뷰와 권한을 확인하세요.
  
• 가능한 한 적은 소프트웨어를 설치하세요. 데스크톱 컴퓨터에 다른 앱이나 브라우저 확장 프로그램을 설치하기 전에 정말 필요한지 다시 생각해보세요. 기존 소프트웨어로 목표를 달성할 수 있을지도 몰라요. (하지만 각 앱이 샌드박스 처리된 모바일 플랫폼에서는 더 안전합니다.)
  
• 정기적인 보안 검사: 사용하지 않는 확장 프로그램이나 소프트웨어를 자주 검토하고 제거합니다. 암호화폐 계정(온라인 및 오프라인)과 시스템에서 비정상적인 활동을 정기적으로 확인합니다.
  
• 강력한 인증 사용: 계정에서 2단계 인증(2FA)을 활성화하여 보안 계층을 추가합니다. 오바이트 지갑 , 메인 메뉴에서 다중 기기 계정을 만들거나 설정에서 지출 비밀번호를 설정하면 됩니다.

• 맬웨어 방지 도구 활용: 최신 바이러스 백신 및 맬웨어 방지 도구를 사용하여 온라인 및 오프라인 위협을 탐지하고 차단하세요.
  
• 암호화폐 보안: 온라인 위협에 대한 노출을 줄이기 위해 하드웨어 또는 종이 지갑에 상당한 암호화폐 자산을 보관하세요. Obyte 지갑을 통해 다음을 생성하여 쉽게 나만의 종이 지갑을 만들 수 있습니다. 텍스트코인 (무작위 단어 12개)를 적어 두고, 돈을 써야 할 때까지 소프트웨어 자체를 삭제하거나 차단합니다.

Obyte 와 그 외의 모든 사용자 여러분, 안전하고 검증된 지갑을 사용하고 이러한 모범 사례를 따라 자산을 보호하세요!

추천 벡터 이미지 프리픽