마이크로소프트, 암호화폐 탈취 악성코드 발견
원제: Microsoft discovers new lightweight backdoor that steals cryptocurrency
왜 중요한가
USB를 통한 확산과 Tor 기반 익명 통신을 결합한 이 악성코드는 암호화폐 탈취 위협의 진화를 보여주며, 엔터프라이즈 보안 및 개인 자산 보호 필요성을 강조한다.
마이크로소프트가 USB 드라이브를 통해 확산되고 암호화폐 자격증명을 탈취하는 새로운 자가복제 악성코드 'Crypto Clipper'를 발견했다. 이 악성코드는 클립보드 내용을 모니터링하고 Tor 네트워크를 통해 공격자 서버로 데이터를 전송한다.
마이크로소프트는 6월 18일 'Crypto Clipper'라는 자가복제 악성코드를 발견했다고 발표했다. 이 악성코드는 USB 드라이브를 통해 확산되며, 기기의 클립보드에서 지갑 주소 또는 시드 프레이즈와 일치하는 패턴을 모니터링한다.
Crypto Clipper는 .lnk 파일 형태로 USB 드라이브에 저장되어 배포된다. 감염된 USB가 기기에 연결되면 악성코드는 설치 여부를 확인하고, 미설치 상태면 Tor 프록시를 통해 다운로드된다. 은폐 목적으로 악성코드는 비슷한 이름으로 .lnk 파일을 재명명한다.
악성코드의 주요 기능은 12~24단어 시드 프레이즈를 감지하여 암호화폐 자격증명을 탈취하는 것이다. 추가로 10초간 5장의 스크린샷을 촬영하고, 탈취한 데이터와 스크린샷을 Tor를 통해 공격자 서버로 전송한다. 또한 클립보드에서 발견한 지갑 주소를 공격자 소유 지갑으로 대체해 자금을 탈취한다.
Crypto Clipper는 전통적인 설치 프로그램이나 IP 기반 C2 인프라에 의존하지 않는다. 대신 이동식 Tor 클라이언트를 배포하고 SOCKS5 프록시를 통해 트래픽을 라우팅하며, 원격 코드 실행 기능을 갖춘 경량 백도어로 작동한다.
마이크로소프트는 Crypto Clipper가 "스크립트 기반 경량 스틸러가 익명화된 통신과 런타임 작업과 결합되었을 때 얼마나 큰 영향을 미칠 수 있는지 보여준다"고 평가했다. Microsoft Defender는 이를 Trojan: Win32/CryptoBandits.A로 탐지한다.