암호화폐 거래소 노리는 공격 잇따라 발견

암호화폐 거래소 노리는 공격 잇따라 발견 AhnLab ASEC대응팀 / 2019-04-10     최근 암호화폐(Cryptocurrency, 가상화폐) 거래소를 노린 공격이 잇따라 확인됐다. 공격자는 수신자의 클릭을 유도하는 이메일 및 파일 이름은 물론, 매크로, 유효한 인증서 활용 등 다양한 방식으로 악성코드 감염을 시도했다.   이번에 확인된 국내 암호화폐 거래소 공격에는 일명 ‘Amadey’라는 이름의 악성코드가 사용됐다. 해당 악성코드에 Amadey라는 이름이 붙은 이유는 악성코드가 유입된 이후 접속하는 페이지에 [그림 1]과 같이 “Amadey”라는 단어가 표시되어 있기 때문이다.   [그림 1] 악성코드 감염 시 접속하는 공격자 페이지   공격자는 국내 암호화폐 거래소를 타깃으로 악성 파일이 첨부된 이메일을 유포했는데, 이때 ▲암호화폐(토큰, 코인) 전망 ▲코인 관련 문의 ▲거래 내역 ▲세무조정계산서 등 다양한 파일 이름으로 수신자의 실행을 유도했다.   [그림 2]는 관련 이메일에 첨부된 문서 파일로, 블록체인 기반의 보안 플랫폼 관련 내용으로 위장하고 있다. 수신자가 해당 파일을 열면 내부의 매크로가 동작해 사용자 몰래 Amadey 악성코드를 유포하는 악성 사이트([그림 1] 참고)에 접속한다.   [그림 2] 공격에 사용된 워드 문서파일 내용   악성 페이지를 통해 추가로 다운로드된 악성코드는 특정 경로에 폴더 및 파일을 생성하고 자동실행을 위해 자신의 복사본을 레지스트리에 등록한다.   또 Amadey 악성코드 대부분은 일반적인 악성코드와 같이 인증서를 갖고 있지 않았지만 일부는 [그림 3]과 같이 유효한 인증서를 포함하고 있는 것도 있었다.   [그림 3] 유효한 인증서를 악용한 Amadey 악성코드   이번 사례와 같이 최근 업무 관련 메일이나 사회적 이슈로 위장한 이메일을 이용해 악성코드를 유포하는 공격이 계속되고 있다. 악성 이메일에 의한 피해를 예방하기 위해서는 출처가 불분명한 이메일의 첨부파일은 실행하지 않아야 하며, 알고 있는 발신자가 보낸 메일의 첨부파일도 실행하기 전에 백신 프로그램으로 검사하는 것이 바람직하다. 또한 백신 프로그램의 엔진 상태를 최신 버전으로 유지하고 ‘실시간 검사’ 기능을 켜두는(활성화) 것이 좋다.   V3 제품군에서는 관련 악성코드를 다음과 같은 진단명으로 탐지하고 있다.   <V3 제품군 진단명>   - Trojan/Win32.Amabot - BAT/Amabot - BinImage/Amabot - Win-Trojan/Logi.Exp - Win-Trojan/Craydoor.Exp - Win-Trojan/Alisa.Exp - Win-Trojan/ALLColour.Exp