본문 바로가기
<정보 및 지식>/◈ 컴퓨터 & IT

사용자 몰래 비트코인 채굴하는 악성코드…주의!

by 파스칼바이런 2016. 4. 25.

사용자 몰래 비트코인 채굴하는 악성코드…주의!

AhnLab / 2016-04-13

 

 

 

 

취약한 사이트를 통해 PC를 감염시키고 사용자 몰래 비트코인을 채굴하는 악성코드가 유포되고 있다. 최근 급증하고 있는 랜섬웨어 악성코드와 달리 해당 악성코드는 감염 증상이 뚜렷하게 나타나지 않을 뿐만 아니라 사용자 몰래 PC의 리소스를 과도하게 점유하여 성능을 저하 시키는 등 사용자의 불편을 야기할 수 있어 주의가 필요하다.

 

본격적인 봄나들이 시즌이 다가오면서 숙박 업체 또는 숙박 예약 사이트를 찾는 사람들이 늘고 있다. 이러한 사람들의 관심사를 이용해 최근 국내 모 리조트 사이트가 악성코드 유포에 이용된 정황이 포착되었다.

 

[그림 1] 비트코인 채굴 악성코드 유포지로 악용된 모 숙박 사이트

 

 

공격자는 해당 사이트에 아이프레임(iframe)으로 악성코드를 삽입하였다. 사용자가 해당 사이트 접속하면 “Photo.scr”라는 악성코드가 사용자의 PC에 다운로드된다. 이 악성코드는 감염된 PC에서 비트코인을 채굴(BitCoin Miner)하는 봇넷(Botnet) 악성코드이다.

 

사용자의 PC에 설치된 이 악성코드는 특정한 URL로 HTTP 통신을 테스트하기 위한 연결을 시도하고, HTTP 통신 테스트 후에는 C&C 서버 로부터 공격자의 원격 명령을 받기 위한 값들을 설정한다. 또한 사용자 PC의 특정한 경로에 “NsCpuCNMiner32.exe”라는 악성코드를 추가로 생성하고 레지스트리에 등록시킨다. 이후 NsCpuCNMiner32.exe 악성코드는 시스템 시작 시 자동으로 실행되어 특정한 명령어와 계정 정보를 통해 사용자 몰래 비트코인을 채굴한다.

 

V3 제품군에서는 다음과 같은 진단명으로 해당 악성코드를 탐지하고 있다.

 

<V3 제품군의 진단명>

Trojan/Win32.CoinMiner (2016.04.04.08)

Trojan/Win32.BitCoinMiner (2014.07.26.03)

 

취약한 웹 사이트를 통해 유포된 해당 악성코드는 비트코인 채굴(BitCoin Miner) 악성코드의 일부에 불과하다. 안랩의 분석 시스템을 통해 수집 및 집계되고 있는 비트코인 봇넷(BitCoin Botnet) 악성코드 수는 계속 증가하고 있다. 감염 증상이 뚜렷한 랜섬웨어 등과 달리 비트코인 채굴 악성코드처럼 증상이 뚜렷하지 않은 악성코드는 사용자 몰래 PC를 감염시켜 사용자의 불편을 초래할 수 있다. 따라서 평소 V3 등 백신 프로그램의 엔진 버전을 최신 상태로 유지하고 정기적으로 정밀 검사를 실행하는 등 사용자의 각별한 주의가 필요하다.