2024-03-29 23:00 (금)
비트코인과 라이트코인 훔치는 악성코드 발견돼…주의
상태바
비트코인과 라이트코인 훔치는 악성코드 발견돼…주의
  • 길민권 기자
  • 승인 2019.09.16 15:30
이 기사를 공유합니다

가상화폐 지갑에서 돈 훔치는 InnfiRAT 트로이목마

가상 화폐 지갑 데이터를 훔치기 위해 피해자의 시스템을 감염시키는 새로운 악성코드 ‘InnfiRAT’이 발견됐다. 해외 보안연구원들은 보통 사용자가 이메일 첨부파일을 열거나 감염된 애플리케이션을 다운로드할 때 감염된다고 전했다.

이 악성코드는 사용자 컴퓨터의 개인 정보 탈취를 위해 설계되었다. 특히 비트코인, 라이트코인 등 가상 화폐 지갑과 관련된 정보를 찾는다.

InnfiRAT은 저장된 사용자 계정과 비밀번호, 세션 데이터를 훔치기 위해 브라우저 쿠키를 수집하고 실행 시 파일이 %AppData% 디렉터리에서 실행되는지, 파일 이름이 NvidiaDriver.exe인 상태에서 실행되는지 확인한다.

이후 "iplogger[.]com/1HEt47"로 요청을 보내 네트워크 연결을 확인하고, 실행 중인 모든 프로세스를 기록해 하나라도 NvidiaDriver.exe라는 이름으로 실행되는지 확인한다.

해당 이름으로 실행된 프로세스가 있다면 그 프로세스를 종료시키고 악성코드 자신도 실행을 종료한다. 이 악성코드는 Base64로 인코딩된 PE 파일을 메모리에 쓰기 전에 메인 컴포넌트를 실행하기 위해 AppData 디렉터리에서 자기 자신의 복사본을 만든다.

그리고 악성코드가 시작되면 보안 연구원들이 악성코드를 분석하는데 사용할 수 있는 가상 환경이 존재하는지 확인한다. 이 악성코드는 자신이 샌드박스에서 실행되고 있지 않으면 C2 서버에 접속해 시스템에서 탈취한 정보를 전송하고 추가 명령을 기다린다.

또 사용자 시스템의 데이터 탈취, 브라우저 쿠키 탈취, 오픈 세션 탈취를 위해 추가 페이로드를 배포할 수도 있다. 또 일반적인 안티바이러스 프로세스를 종료시킬 수도 있다.

최종적으로 타깃 시스템에서 비트코인(BTC)과 라이트코인(LTC) 가상화폐 지갑과 관련된 파일을 찾아 해당 파일의 내용을 탈취한다.

보안전문가들은 악성코드 감염을 예방하기 위해서는 신뢰할 수 없는 곳에서 프로그램을 다운로드하거나 첨부파일을 여는 것을 하지 않아야 한다고 강조했다.

[PASCON 2019 개최]
·하반기 최대 정보보안/개인정보보호 컨퍼런스 PASCON 2019
·7시간 보안교육 이수 및 2020년 대비 보안실무 교육
·공공,기업 개인정보보호 및 정보보안 실무자라면 누구나 무료 참석
-무료사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★