USB 웜, 윈도우 바로가기 파일로 크립토스틸링 악성코드 전파
암호화폐 지갑을 겨냥한 위협 행위자들은 클립보드 도용 악성코드(자체 복제 기능)를 배포하고, 통신을 은폐하기 위해 Tor 네트워크를 사용하고 있습니다. 이 캠페인은 최소한 2월부터 지속되고 있으며, USB 드라이브에 있는 LNK(단축 파일)을 활용해 클리퍼 악성코드를 배포합니다. 이 악성코드는 클립보드 내용을 모니터링하고, 공격자가 제어하는 암호화폐 지갑 주소로 대체합니다. 또한, 시드 문구와 개인 키를 감시하며, Tor를 통해 캡처한 스크린샷을 외부에 전송할 수 있습니다.
감염 및 웜 전파
Microsoft는 피해자가 LNK 파일을 열면 해당 USB 드라이브에 있는 악성코드가 실행된다고 설명합니다. 추가 페이로드는 .ONION 주소에서 스테이징됩니다. 현지 시스템에서 문서 파일을 검색하고, 발견된 파일은 원본을 숨기고 동일한 이름의 악성 바로 가기로 대체합니다. 이렇게 하면 사용자가 문서를 열 때 악성코드가 실행됩니다. 웜은 신규 연결된 USB 저장 장치를 감시하기 위한 예약 작업을 생성합니다. 휴대용 드라이브가 연결될 때, 악성코드는 자신을 해당 장치에 복사하고 추가적인 악성 바로 가기 파일을 생성합니다.
실행 흐름 개요 출처: Microsoft
데이터 도둑
악성코드 내의 스틸러 구성 요소는 작업 관리자가 비활성화된 후, Tor 실행 파일(ugate.exe)를 사용해 명령 및 제어(C2) 호스트와 통신을 시작합니다. 악성코드는 0.5초 간격으로 다음 데이터를 클립보드에서 확인합니다:
- 12단어 BIP39 시드 문구
- 24단어 BIP39 시드 문구
- 이더리움 개인 키
- 비트코인 WIF 키
- 비트코인 레거시, P2SH, Bech32 및 Taproot 지갑 주소
- 트론 지갑 주소
- 모네로 지갑 주소
타겟 주소는 공격자의 지갑 주소와 부분적으로 유사하도록 시작 숫자나 문자를 기준으로 선택되어, 사용자가 빠르게 사기 발견을 어렵게 만듭니다.
지갑 주소 대체 기능 출처: Microsoft
클립보드 모니터링 외에도 악성코드는 10초 간격으로 피해자의 화면을 캡처한 다섯 장의 스크린샷을 curl 도구를 사용해 C2로 전송합니다. Microsoft에 따르면 원격 코드 실행도 지원되며, 이는 C2 EVAL 명령으로 트리거될 수 있습니다. 구체적으로 악성코드는 JavaScript 콘텐츠를 ‘cfile’라는 파일에 다운로드하고, 감염된 기계에서 실행합니다.
연구원들은 이 감염의 가장 강력한 지표는 서명 기반이 아닌 행동적이라는 것이며, wscript.exe와 cscript.exe 프로세스 활동 모니터링, unexpected 실행 of curl, PowerShell, cmd.exe 및 비정상적인 자식 프로세스를 권장합니다. 또한, ‘localhost:9050’에 연결되고 Tor 프록시 활동이 있는 경우는 이 캠페인과 관련된 빨간 신호로 간주됩니다.
Security 팀은 성공적인 공격의 54%를 로깅하고, 단지 14%만 알림을 생성합니다. 나머지는 여러분의 환경에서 눈에 띄지 않고 진행됩니다. Picus 화이트페이퍼는 보안 사고 시뮬레이션이 SIEM 및 EDR 규칙을 테스트하여 위협이 감지에 미치지 못하게 한다는 점을 보여줍니다.