마이크로소프트는 Windows 바로가기 파일을 이용해 기기를 감염시키는 USB 드라이브를 통해 확산되는 악성코드에 대해 경고를 발령했습니다. 이른바 ‘클리퍼(clipper)’ 악성코드는 클립보드에 있는 암호화폐 주소를 찾아내어, 공격자가 제어하는 다른 주소로 대체합니다.
마이크로소프트, 암호화폐 사용자를 노리는 새로운 USB 기반 악성코드에 대해 경고
공유
주요 내용
- 마이크로소프트 디펜더(Microsoft Defender)는 비트코인 거래 정보를 도난당하게 만드는 새로운 USB 악성코드를 탐지했습니다.
- 이 스크립트는 12단어 또는 24단어 시드 문구를 훔쳐, 트론(TRON) 및 모네로(Monero) 지갑의 보안을 위협합니다.
- 마이크로소프트는 이어 사용자에게 바로 가기를 차단하여 이 악성코드가 이동식 드라이브를 통해 확산되는 것을 막을 것을 촉구했습니다.
암호화폐 주소를 변경하는 윈도우 악성코드에 대한 마이크로소프트 경고
윈도우에 내장된 악성코드 및 바이러스 보안 도구인 마이크로소프트 디펜더(Microsoft Defender) 개발팀은 주로 USB 드라이브를 통해 바로 가기를 이용해 기기를 감염시키는 새로운 위협에 대해 경고했습니다.
이 악성코드는 이동식 저장 장치의 파일을 실행 시 감염을 유발하는 바로가기(.lnk 파일)로 대체하고, 안티바이러스 소프트웨어에 의한 스캔 및 삭제 시도를 차단하며, 탐지를 피하기 위해 익명화된 Tor 기반 통신을 사용합니다.
동시에 이 악성코드는 감염된 컴퓨터에 삽입된 모든 USB 드라이브에 스스로를 복사하여 확산됩니다. 또한 감염된 기기의 클립보드에 사용자가 복사한 주소를 변경하는 등 다양한 작업을 수행할 수 있는 프로세스를 실행합니다.
감염된 기기에서 지속적으로 실행되는 이 악성코드는 메모리 내에서 마이크로소프트가 “고가치 금융 아티팩트”라고 부르는 항목을 스캔하여, 클립보드 데이터에서 12단어 또는 24단어 길이의 BIP39 시드 문구를 탐지하고, 이를 지갑 내용과 잔액에 대한 맥락을 제공하는 5장의 스크린샷과 함께 공격자에게 전송합니다.
또한, 이 암호화폐 클리퍼는 500밀리초마다 메모리 내에서 비트코인, 트론, 모네로 등 인기 있는 암호화폐 프로젝트의 주소를 스캔합니다.
해당 주소를 발견하면 사용자가 거래를 실행하기 위해 복사하고 있다고 가정하고 이를 유사한 주소로 변경하는데, 이 주소는 감염된 기기의 사용자가 보낸 자금을 탈취하기 위해 공격자가 제어하는 주소입니다.
마이크로소프트 디펜더 팀은 “이 악성코드 계열은 경량 스크립트 기반 정보 탈취 프로그램이 익명화된 통신 및 런타임 태스킹과 결합될 때 얼마나 막대한 영향을 미칠 수 있는지 보여준다”고 강조했습니다.
감염을 방지하기 위해 팀은 모든 이동식 저장 매체의 콘텐츠에 대한 자동 실행 기능을 비활성화하고, 이 악성코드의 주요 전파 경로로 확인된 이동식 드라이브의 바로 가기 실행을 차단할 것을 권장합니다.
이 기사는 AI를 사용하여 영어에서 번역되었습니다. 영어 원본이 권위 있는 출처이며, 자동 번역에는 특히 법률 및 규제 용어에서 부정확한 내용이 포함될 수 있습니다.
