본문 바로가기
분석 정보/악성코드 분석 정보

DeepLoad, 확장 프로그램으로 위장해 암호화폐 탈취

by TACHYON & ISARC 2026. 4. 14.

최근 크로미움 기반 브라우저 사용자를 대상으로 확장 프로그램을 강제로 설치해 암호화폐를 탈취하는 DeepLoad 악성코드가 발견됐다. DeepLoad는 사용자를 속여 명령 실행을 유도하는 ClickFix 기법을 이용해 유포되며 실행된 PowerShell 스크립트는 C&C 서버에서 Go 언어로 작성된 EXE 파일을 다운로드 및 실행한다. 해당 EXE는 악성 확장 프로그램의 구성 파일을 드롭한 뒤 브라우저에 직접 확장 프로그램을 설치하고 설치된 악성 확장은 정상적인 사용자 지갑 주소를 공격자의 암호화폐 지갑 주소로 치환함으로써 사용자가 인지하지 못한 상태에서 암호화폐를 공격자에게 전송한다.

 

악성 확장 프로그램의 구성 파일은 크롬 웹 스토어의 기존 다운로드 경로와 다른 폴더에 저장되며 크로미움 기반의 브라우저를 대상으로 설치된다. 설치된 확장은 Google Notes라는 이름으로 위장하고 실제로 메모가 가능한 팝업 UI를 제공해 사용자를 속인다.

  - 악성 확장 파일 저장 경로 : %LocalAppData%\Packages\Extensions

  - 기존 확장 파일 저장 경로 : %LocalAppData%\{Vender}\{Browser}\User Data\Default\Extensions

 

[그림 1] Google Notes로 위장한 악성 확장 프로그램

 

설치된 악성 확장의 manifest.json 파일에서는 사용자가 특정 페이지에 접속할 경우 실행되는 content script와 웹 페이지와 독립적으로 동작하는 이벤트 핸들러 service worker를 지정하고 있다. 먼저 content script는 사용자가 방문하는 모든 페이지를 대상으로 content_script.js를 실행하도록 하며 해당 스크립트는 현재 URL의 블랙리스트 검사를 수행한 후 interceptor.js를 실행한다. 블랙리스트는 블록체인의 주소 및 트랜잭션 등을 검증할 수 있는 사이트로 구성돼 있어 블랙리스트에 포함된 페이지에서는 스크립트를 중단한다.

 

[그림 2] 블랙리스트 검사 및 interceptor.js 실행 코드

 

암호화폐 탈취

interceptor.js는 암호화폐 지갑 주소를 탐지해 공격자의 지갑 주소로 치환하는 메인 동작을 수행한다. 해당 스크립트는 DOM(Document Object Model), 클립보드 및 fetch() 메서드를 포함한 [ 1]의 목록을 대상으로 텍스트 데이터를 읽고 암호화폐 지갑 주소를 실시간으로 수정한다.

 

[표 1] 암호화폐 지갑 주소 치환 대상

 

주소 치환 과정에서 interceptor.js 스크립트는 crypto-patterns.js 에 저장된 정규 표현식과 공격자의 암호화폐 주소를 참조한다. 정규 표현식은 암호화폐 종류에 따른 지갑 주소의 패턴을 검색하는 데 사용되며 검색된 문자열은 같은 종류의 공격자 지갑 주소로 변경해 암호화폐를 탈취한다.

 

[그림 3] 암호화폐 지갑 주소 치환 코드

 

C&C 서버 주소 교체

이벤트 핸들러로 지정된 service-worker.js는 공격자가 운영하는 C&C 서버 관련 동작을 수행한다. 해당 스크립트는 확장 프로그램의 설치 및 실행 이벤트를 감지해 refresh, domain cache-cleanup이라는 이름의 알람을 등록하고 각각의 알람은 10, 60, 15분마다 반복되도록 설정한다. 이후 알람 이벤트를 대기하다가 refresh 알람을 수신하면 C&C 서버와의 연결 상태를 점검하고 domain을 수신하면 C&C 서버로부터 새로운 주소를 받아와 교체한다. 새로운 서버 주소는 크롬 로컬 스토리지에 저장되며 cache-cleanup 알람 수신 시 로컬 스토리지에 저장된 주소를 삭제한다.

 

[그림 4] C&C 서버 연결 상태 확인 코드

 

[그림 5] 새로운 C&C 서버 주소 수신 코드

 

DeepLoad 악성코드는 C&C 서버 연결 동작 외 브라우저 히스토리 탈취, 다운로드 하이재킹 및 웹사이트 리다이렉션 등의 추가 동작이 background.js 파일에 구현돼 있지만 해당 파일이 manifest.json에 지정돼 있지 않고 다른 모듈 내에서도 임포트되지 않아 실제로 실행되지는 않는다.

 

DeepLoad Google Notes 확장 프로그램으로 위장해 정상 기능을 제공하는 동시에 백그라운드에서 암호화폐 지갑 주소를 변경하기 때문에 사용자가 감염 사실을 인지하기 어려워 주의가 필요하다. 따라서 암호화폐를 전송하기 전 대상 주소를 다시 확인하는 과정이 필요하고 보안 프로그램과 OS를 항상 최신버전으로 유지할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 6.0에서 진단 및 치료가 가능하다.

 

[그림 6] TACHYON Internet Security 6.0 진단 및 치료 화면

 

 

 

저작자표시 비영리 변경금지 (새창열림)

'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글

감염형 코인마이너 XiaoBa  (0) 2026.04.14
ISO 파일로 유포되는 Phantom Stealer  (0) 2026.02.13
NSIS 플러그인을 악용해 유포되는 Lumma Stealer  (0) 2026.01.29
Yokai 백도어를 유포하는 SnakeDisk 웜  (0) 2025.12.24
USB를 감지해 전파하는 HIUPAN 웜  (0) 2025.12.24

관련글

티스토리툴바