에셸론이라는 정보 탈취형 멀웨어가 텔레그램에서 퍼져가고 있다. 주로 암호화폐 지갑의 크리덴셜을 노리기 위한 것이다. 아직 피해 상황이 큰 거 같지는 않지만 그렇다고 안심하기에는 이르다. 윈도 디펜더를 켜야 한다.

[보안뉴스 문가용 기자] 텔레그램 사용자들의 암호화폐 지갑들을 노리는 사이버 공격자들의 캠페인이 발견됐다. 이번 캠페인에서 적극 사용되고 있는 건 에셸론(Echelon)이라는 정보 탈취 멀웨어로, 암호화폐에 관심을 이제 막 갖기 시작한 초보 투자자들이 주요 공략 대상인 것으로 알려져 있다.


보안 업체 세이프가드(SafeGuard)의 연구원들에 의하면 지난 10월 텔레그램 내 암호화폐 관련 채널에 에셸론 새플이 게시되는 현상을 목격했다고 한다. 에셸론은 각종 크리덴셜을 훔치는 데 사용되는 멀웨어로 각종 소셜 네트워크나 메시지 앱은 물론 다양한 암호화폐 거래 플랫폼과 지갑용 크리덴셜도 노릴 수 있다.

세이프가드 측은 이번 캠페인의 전략을 한 마디로 ‘무작위 살포 후 기도’라고 정의한다. 그만큼 전략이 세련되지도, 기술이 고급스럽지도 않았다고 한다. 채널에 새로 가입한 사람들이라면 거의 무조건 찔러보는 것이 공격자들의 거의 유일한 수법이다. 이 공격을 실시하는 자 혹은 단체는 스모크스 나이트(Smokes Night)라는 아이디를 사용하고 있다.

이번 캠페인이 어느 정도의 성과를 거두었는지는 확실히 알 수 없다. 에셸론이 숨겨진 게시글이 폭발적인 인기를 끈 것도 아니고, 댓글 쓰레드가 형성된 것도 아니었다. 신고 접수가 된 것도 아닌 것으로 보이며, 해당 메시지를 의심하는 사람도 보이지 않았다. 그렇다고 해서 캠페인을 실패라고 볼 수는 없다. 공격자 입장에선 한 명에게서라도 돈을 뜯어내면 성공이다.

텔레그램은 최근 들어 사이버 범죄자들의 양성소가 되어가고 있다. 텔레그램을 이용하는 일반 사용자들의 수가 많으며 따라서 공격 표면이 넓다는 것과, 신분이 노출될 위험이 낮다는 점이 매력으로 작용한다. 심지어 일각에서는 차세대 다크웹으로 불리기까지 하며, 텔레그램으로 다크웹의 사용자가 상당수 이동하기도 했다.

이번 캠페인에서 공격자들은 .RAR 파일을 채널에 게시했다. 이 아카이브 안에는 비밀번호 정보가 저장된 텍스트 파일, 정상적인 클래스 라이브러리, 에셸론의 악성 실행파일이 저장되어 있었다. 악성 페이로드는 닷넷(.NET)으로 작성되었고 악성 기능 외에도 다양한 기능을 가지고 있어 탐지와 분석이 다소 어려워질 수 있다. 디버깅 기능을 중단시키시도 한다.

이번 캠페인에서 사용된 에셸론 버전의 경우 도메인 탐지 기능이 있다는 사실도 조사됐었다. 즉 피해자가 방문한 도메인 정보도 공격자들이 노리고 있다는 뜻이 된다. 세이프가드는 이번 에셸론 버전의 표적이 되고 있는 모든 사이트와 플랫폼을 목록화 하여 공개하기도 했다.

그 외에 컴퓨터 핑거프린팅, 스크린샷 캡처 기능도 발견됐다. 멜웨어는 피해자의 시스템에서 수집한 각종 정보를 집 파일로 압축한 후 공격자들의 서버로 전송했다. 한 가지 다행인 점은 윈도 시스템의 고유 방어 장치인 윈도 디펜더가 주요 페이로드를 탐지할 수 있다는 것이다. 따라서 대부분 윈도 사용자들이라면 보안 장치를 일부러 찾아 끄지 않는 이상 그리 큰 위험에 빠질 일이 없다.

3줄 요약
1. 암호화폐 노리는 공격자들, 텔레그램에서 활동하기 시작.
2. 암호화폐 관련 채널에서 에셸론이라는 정보 탈취 멀웨어 유포.
3. 각종 암호화폐 지갑의 크리덴셜 노리고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>