암호화폐 지갑을 노린 악성코드가 발견됐다. 최근 알리바바코인 암호화폐 가격이 4배가량 급등하자 이를 노린 공격이 등장했다. 공격자는 웹브라우저 아이디, 비밀번호뿐 아니라 클립보드 저장 데이터까지 유출 대상으로 삼는다. 사용자 주의가 요구된다.
안랩 시큐리티대응센터(ASEC)는 최근 알리바바코인(ABBC Coin) 지갑 프로그램과 함께 설치되는 악성 코드가 발견됐다고 밝혔다. 암호화폐 지갑은 암호화폐 거래 시 사용되는 공개키와 개인키를 보관·관리하는 프로그램이다.
안랩 관계자는 “현재 악성코드가 어떻게 유포됐는지는 발견하지 못했다”면서 “악성코드는 압축파일 형태로 정상 알리바바 코인지갑 프로그램으로 위장해 사용자가 구별하기 어렵다”고 설명했다.
해당 악성코드는 알리바바코인 지갑 프로그램을 실행하면 'AppDataRoaming' 폴더에 암호화폐 지갑 프로그램과 함께 'sys.exe' 파일을 설치·실행한다. sys.exe는 다운로더 악성코드다. 샌드박스 분석·탐지를 우회한다. 샌드박스를 이용해 해당 프로그램을 분석하려는 환경을 우회하고 실제 PC환경에서만 악의적 동작을 수행하도록 했다.
해당 다운로더 악성코드가 정상적으로 동작하면 특정 업체 웹사이트에서 인코딩된 실행파일(PE)을 다운로드한다. 이 파일은 다운로드할 때나 파일로 존재할 때는 인코딩된 파일 형태를 하고 있지만 실제로는 'DLL'로 제작된 악성코드다. 모든 악성코드 설치 완료 후 시스템, 프로세스, 프로그램 목록, 이메일, 브라우저 히스토리 등 정보를 추출하고 저장 후 공격자에게 전송한다.
정영일기자 jung01@etnews.com
▶ 네이버 모바일에서 [전자신문] 채널 구독하기
▶ 전자신문 바로가기 [Copyright ⓒ 전자신문 & 전자신문인터넷, 무단전재 및 재배포 금지]
