잉카인터넷 시큐리티대응센터 블로그

암호화폐에 대한 관심이 높아지는 만큼 암호화폐 관련 앱을 위장한 악성 앱이 다양한 방식으로 유포된다. 최근에 암호화폐의 가격 및 뉴스 등을 알려주는 암호화폐 포트폴리오 트래커(Crypto Portfolio Tracker) 앱을 위장한 악성 코드 MaliBot이 등장하였다. 해당 악성코드는 안드로이드 단말기를 대상으로 하여, 웹사이트 및 SMS 등으로 유포되었다. 해당 앱을 실행하면, 단말기에 저장된 각종 정보를 탈취하고 원격제어 등의 악성 동작을 수행한다. MaliBot은 아래 그림과 같이 정상 사이트를 위장하여 안드로이드 단말기에서 접속하면 악성 앱을 다운로드하도록 한다. 웹페이지를 랜더링하는 장치 정보를 확인하여 AndroidOS인 경우 ‘cryptoapp.apk’를 다운로드하고, iOS또는 그 외의..

최근, 미국의 보안 업체 Symantec이 "Verblecon" 악성코드 분석 보고서를 발표했다. 해당 업체는 "Verblecon" 악성코드가 피해자의 시스템에 암호화폐 채굴 소프트웨어를 설치하는 것을 목표로 하며, 채팅 앱 Discord의 액세스 토큰을 훔치기도 한다고 알렸다. 또한 Symantec의 연구원들은 해당 악성코드가 랜섬웨어 및 스파이 활동을 포함해 더 심각한 공격에 사용될 가능성이 있다고 언급했다. 사진 출처 : Symantec Enterprise Blogs 출처 [1] Symantec Enterprise Blogs (2022.03.29) - Verblecon: Sophisticated New Loader Used in Low-level Attacks https://symantec-ente..

최근 사이버 보안 업체 Sophos가 CryptoRom 사기를 통한 암호화폐 탈취를 경고했다. CryptoRom은 Bumble, Tinder 및 Grindr와 같은 유명 데이팅 앱을 통해 피해자들에게 접근한 뒤 암호화폐를 훔치는 사기 유형이다. 해당 보안 업체는 최근 공격자들이 TestFlight 및 WebClips라는 iOS 기능을 악용해 앱스토어 승인을 우회하고 사기성 앱을 설치해 암호화폐를 훔친다고 알렸다. 이와 관련해 Sophos는 소셜 미디어 회사가 관련 사기에 대한 내용을 사용자에게 경고하고, 악성 사용자의 프로필를 제거해야 한다고 언급했다. 사진 출처 : Sophos 출처 [1] Sophos (2022.03.16) - CryptoRom Bitcoin swindlers continue to t..

"Twizt" 악성코드는 감염 대상 PC의 로컬 네트워크에서 게이트웨이 장치를 검색하고, 해당 장치에 UDP 및 TCP 포트 매핑을 추가해 공격자와 통신한다는 특징이 있다. 이러한 특징으로 인해 해당 악성코드는 공격자의 C&C 서버를 노출하지 않고 사용자의 PC를 제어하거나 추가 페이로드를 다운로드할 수 있다. 또한, 윈도우 클립보드를 공격자의 암호화폐 지갑 주소로 변경하여 사용자의 암호화폐를 가로챈다. Analysis "Twizt"라는 이름은 악성코드가 처음 발견됐을 때 사용된 뮤텍스명에서 따왔다. 해당 악성코드는 실행 시 우선적으로 감염된 PC의 로케일을 확인하여 "UKR(우크라이나)"인 경우 프로세스를 종료한다. 확인을 마치면 지속성을 위해 레지스트리에 등록한다. 이로 인해 사용자가 PC를 부팅하면..