테크레시피

1년간 몰래 활동한 암호화폐 탈취 악성코드

비트코인은 2021년 초부터 급격하게 가격이 상승하고 있다. 1월 4일 일시적으로 급락했지만 다음날 다시 상승세로 돌아섰다. 그런데 지난 1년 동안 비밀리에 감염시켜 암호화폐 보유자 수천 명으로부터 지갑 주소를 수집하던 악성코드가 발견됐다.

일렉트로랫(ElectroRAT)이라는 이 악성코드는 윈도와 맥OS, 리눅스용으로 만들어져 있어 잼(Jamm)이나 이트레이드(eTrade) 등 암호화폐 거래용 응용 프로그램이나 암호화폐를 이용해 즐기는 다오포커(DaoPoker) 같은 게임 소프트웨어를 트로이목마화해 배포한다. 해커는 비트코인토크(bitcointalk)와 스팀코인판(SteemCoinPan) 같은 암호화폐 포럼 사이트에서 가짜 프로모션을 진행하고 트위터와 텔레그램에서 이를 확산시킨 것으로 보고되고 있다.

2020년 1∼12월 수천 명이 다운로드한 이런 악성코드가 사용자 컴퓨터에서 활동을 시작하면 키 입력을 기록하거나 화면을 캡처, 파일 송수신과 소프트웨어 설치 등을 실시하는 원격 조작 가능한 상태가 된다.

프로그래밍 언어 Go를 이용해 만든 일렉트로랫은 한 사용자(Execmac)가 텍스트 데이터 공개 서비스 페이스트빈(Pastebin)을 이용해 공개한 데이터를 바탕으로 C&C서버를 검색하고 감염된 컴퓨터와 상호 작용한다. 악용된 페이스트빈 페이지 중 하나는 연간 6,500회 접속됐다고 한다.

정보 보안 기업인 인티저(Intezer)는 보고 시점 트로이목마화된 소프트웨어와 일렉트로랫 코드는 웹사이트 악성코드 감염 검사를 실시하는 바이러스토털(VirusTotal)에서 감지되지 않는다고 한다. 또 만일 3개 중 트로이목마화된 소프트웨어 하나를 자신의 환경에 다운로드해 실행한 적이 있다면 곧바로 이를 종료하고 관련된 모든 파일을 시스템에서 제거하고 만일을 위해 암호화폐 지갑에 있는 자산은 모두 다른 지갑으로 옮겨 모든 암호를 바꿀 필요가 있다고 한다. 관련 내용은 이곳에서 확인할 수 있다.