윈도우 업데이트로 위장한 비트코인 탈취 악성코드

윈도우 업데이트로 위장한 비트코인 탈취 악성코드 AhnLab ASEC대응팀 /  2017-10-11     최근 비트코인의 가치가 상승하는 등 관심이 높아짐에 따라 이를 탈취하려는 악성코드가 발견되어 사용자의 주의가 요구된다.   비트코인 탈취를 위해 제작된 이 악성코드는 [그림 1]과 같이 윈도우(Windows) 업데이트 공지로 위장한 스팸 메일을 통해 유포되었다.   [그림 1] 윈도우 업데이트로 위장한 스팸 메일   사용자가 메일에 첨부된 .exe 파일을 윈도우 업데이트 파일로 생각하고 실행하면 .net framework로 제작된 악성 파일이 레지스트리를 변조하여 C&C 서버에서 추가로 악성코드를 다운로드한다. 이렇게 다운로드된 악성코드가 PC 내 비트코인이 저장되어 있는 경로를 찾아내 [그림 2]와 같이 비트코인 지갑을 C&C 서버를 통해 공격자에게 전달한다.   [그림 2] C&C 서버로 전송되는 비트코인 지갑   비트코인은 윈도우 PC에 저장될 때 일반적으로 ‘%appdata%\비트코인’ 폴더에 저장되기 때문에 공격자는 악성코드가 해당 경로를 찾도록 제작한 것이다.      V3 제품은 해당 악성코드를 아래와 같은 진단명으로 탐지하고 있다.   <V3 제품군 진단명> - Trojan/Win32.Zusy - Trojan/Win32.Agent   최근 ‘자산’으로서의 비트코인의 가치가 급등함에 따라 악성코드 제작자들도 비트코인을 직접적으로 탈취하기 위한 방법에 관심을 보이고 있다. 즉, 비트코인 및 관련 정보는 직접적인 금전적인 손실을 가져올 수 있다. 이번에 발견된 악성코드뿐만 아니라 비트코인 거래소 등으로 위장한 가짜 웹사이트를 이용한 피싱,비트코인 지갑 주소를 해커의 가짜 주소로 변경하는 공격 등 다양한 방법이 시도되고 있으므로 더욱 각별한 주의가 필요하다.