암호화폐 훔치는 신종 멀웨어, 컴퓨터 8만 대 감염시켜

마이크로소프트의 Defender ATP 연구 팀이 8만 대에 가까운 컴퓨터를 감염시킨 신종 암호화폐 절도 멀웨어에 대한 정보를 밝혔다.

지난 11월 26일, 마이크로소프트의 보안 분석가들은 덱스팟(Dexphot)이라는 이 멀웨어가 2018년 10월 이래로 이미 8만 대에 가까운 컴퓨터를 감염시켰으며, 올해 6월에는 감염이 최고조에 달했다고 밝혔다.

이 악성 코드는 합법적인 시스템 프로세스를 장악해 자신의 불법 행위를 위장하는데, 그 궁극적인 목표는 감염된 컴퓨터에서 암호화폐 채굴기를 실행하는 것이다. 감염된 컴퓨터의 사용자들이 이 멀웨어를 제거하려고 시도해도 모니터링 서비스와 스케줄링 된 작업에 의해 재감염이 촉발된다. 이에 대한 보고서에서는 다음과 같이 언급하고 있다.

“덱스팟은 주류 언론에서 관심을 가질 만한 종류의 공격은 아니다. 항상 활동하고 있는 수없이 많은 멀웨어 중 하나로서, 그 목표는 사이버 범죄 분야에서 매우 흔히 볼 수 있듯이, 코인 채굴기를 설치한 뒤 조용히 컴퓨터 자원을 훔쳐 공격자의 수익을 올려 주는 것이다.”

덱스팟 멀웨어는 최근 WAV 오디오 파일에서 발견된 악성 코드와 여러모로 비슷하다. 이러한 종류의 멀웨어를 통해 해커들은 희생자의 컴퓨터에 CPU 채굴기를 설치해 프로세싱 자원을 훔치며, 암호화폐 채굴을 통해 한 달에 수천 달러의 수익을 올린다.

이런 식으로 편승하는 멀웨어가 해커들 사이에서 점점 더 인기가 높아지고 있는 것은 사용자도 모르는 사이에 백그라운드에서 작업하면서 재정적 이득을 가져다 주기 때문이다. 이러한 공격을 흔히 크립토재킹(cyptojacking)이라고 한다.

가짜 브라우저로 다크넷 사용자의 비트코인 훔쳐내

지난 10월, 주요 바이러스 퇴치 소프트웨어 공급사인 ESET는 다크넷의 구매자들로부터 비트코인(BTC)을 훔치도록 고안된, 트로이 목마화된 토르(Tor) 브라우저를 발견했다. 이 가짜 토르 브라우저는 러시아의 사용자들을 대상으로 2017년부터 다크넷 구매자들이 입력하는 암호화폐 주소를 바꿔치기 함으로써 이들의 암호화폐를 훔쳐왔다.