ESET, 중남미서 암호화폐 탈취용 뱅킹 트로이 목마 "카스바네이로" 발견

슬로바키아의 주요 바이러스 백신 소프트웨어 업체인 ESET가 암호화폐를 탈취할 수 있는 뱅킹 트로이 목마 바이러스를 발견했다. 이 트로이 목마는 특히 중남미 지역에 널리 퍼져 있다.

탈취의 주요 표적

ESFT는 3일자 보고서에서  "카스바네이로(Casbaneiro)" 또는 "메타모르포(Metamorfo)"로 알려진 이 신종바이러스는 브라질 및 멕시코 소재의 은행과 암호화폐 서비스를 표적으로 삼고 있다고 밝혔다.

이 보고서에 따르면, 카스바네이로는 사회공학적 실행 방식을 사용한다고 한다. 즉, 가짜 팝업 창을 표시하여 잠재적인 피해자들이 민감한 정보를 입력하도록 오도하는 것이다.  이 멀웨어는 중남미 뱅킹 트로이 목마 바이러스의 전형적인 기능을 갖추고 있어서, 스크린샷을 찍어 명령제어(C&C) 서버로 보내고, 키보드 동작을 시뮬레이션하며, 키 입력을 캡처하는 것은 물론 웹 사이트에 대한 액세스를 제한하고, 다른 툴들을 다운로드하여 실행할 수 있다고 한다.

클립보드를 통한 암호화폐 탈취

암호화폐 지갑은 은행과 함께 카스바네이로의 주요 표적 중 하나이다. ESET에 따르면, 카스바네이로는 클립보드의 내용을 모니터링 하여 피해자들이 복사해 놓은 암호화폐 지갑을 공격자 소유의 주소로 교체해놓을 수 있다고 한다.

보고서에 따르면, 당시에 ESET가 발견한 것은 단지 한 공격자의 암호화폐 지갑뿐이었다고 한다. 이진 코드를 이용해 하드코딩 된 것으로 알려진 문제의 지갑에는 보도 당시 약 1.2 비트코인(BTC), 즉 9,812달러 상당이 들어 있었으며, 총 거래 회수는 71회였다고 Blockchain.com은 전했다.

또한 새로 발견된 악성 코드는 다수의 암호 알고리즘을 사용하고 있는데, 이들은 저마다 다른 유형의 데이터를 보호하기 위한 것이라고 이 보고서는 밝혔다.

지난 9월 26일, 미국의 인터넷 인프라 업체인 주니퍼 네트웍스(Juniper Networks)는 사용자들에게 Masad Clipper and Stealer라는 새로운 스파이웨어를 조심하라고 경고했는데, 이 스파이웨어는 텔레그램 앱을 이용해 암호화폐 주소를 그 자신의 주소로 교체한다고 한다.