암호화폐 탈취 가능한 악성코드, 이번 캠페인에 경제적 동기가 있을 것으로 추정

요약 : 보안 외신 핵리드에 의하면 2023년 2월 이란 사용자들을 대상으로 VPN 앱으로 위장해 Opcjacker 크립토 멀웨어를 배포하는 새로운 멀버타이징 캠페인이 발견됐다. 이번 캠페인을 처음 발견한 트렌드마이크로의 보안연구원들은 Opcjacker 멀웨어는 정상적인 암호화 앱 및 기타 소프트웨어를 홍보하는 가짜 웹사이트 네트워크를 통해 작동한다고 설명했다. 새로 분석된 샘플에서 멀버타이징 캠페인은 정품 VPN 앱 안에 숨겨져 있었고, 이란의 사용자들은 이에 속아서 새로운 Opcjacker 악성코드가 포함된 아카이브 파일을 다운로드한 것으로 드러났다.


배경 : 이란 사용자에 대한 멀버타이징 공격에 VPN을 활용한 사례는 지난해에도 있었다. 2022년 10월, 이란 해커들은 VPN 앱으로 위장한 ‘RatMilad’라는 이름의 안드로이드 스파이웨어를 퍼뜨리기도 했다. 이번 캠페인에서 해커들은 Babadeda라는 암호문을 통해 Opcjacker 멀웨어를 숨겼다. 구성 파일을 사용하여 맬웨어의 데이터 도용 기능을 활성화하고 임의의 셸코드 및 기타 실행 파일을 실행하는 것으로 분석됐다. 멀웨어의 기능에는 스크린샷 캡처, 키로깅, 새 모듈 로드, 브라우저에서 사용자 데이터 탈취, 암호화폐 지갑 하이재킹이 포함됐다.

말말말 : “Opcjacker 멀웨어가 암호화폐를 훔칠 수 있기 때문에 이번 캠페인이 경제적 동기가 있다고 생각합니다. 이러한 유형의 멀웨어는 적어도 2022년 중반부터 다양한 멀버타이징 캠페인을 통해 유포되고 있으며, 계속 진화 중이고 개발 중입니다.” -트렌드마이크로-
[권준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>