보안 기업인 시만텍이 무단으로 암호화폐 채굴을 하는 새로운 악성 코드인 비피(W32.Beapy)가 기업을 대상으로 급증하고 있다고 발표했다.
비피는 미 국가안전보장국 NSA로부터 유출된 해킹 툴을 이용하고 있으며 기업망 전체에 확산되면서 컴퓨터 다수에 암호화폐 채굴을 무단으로 시킨다. 지난 1월 처음 발견된 이후 3월이 지나면서 732개 기업 조직에서 1만 2,000건 이상 감염됐다고 한다. 80% 이상 감염은 중국에서 발생했다.
시만텍에 따르면 비피는 악의적 코드를 숨긴 엑셀 파일을 이메일에 첨부 파일로 전달해 확산된다. 이메일 수신자가 첨부 파일을 열면 NSA가 개발한 백도어 도구인 더블펄서가 다운로드된다. 더블펄서는 2017년 퍼진 랜섬웨어 뿐 아니라 NSA 취약점 공격 도구인 이터널 블루를 이용한다. 또 오픈소스 정보 수집 도구로 잘 알려진 미미캐츠(Mimikatz)를 채택했고 이를 통해 감염 컴퓨터의 암호를 수집, 이용해 기업망에 확산시킨다.
보도에 따르면 온라인 채굴 서비스인 코인하이브가 종료하면서 크립토재킹은 최근 몇 개월간 감소세를 보였다고 한다. 하지만 비피 같은 파일 형태 크립토재킹 악성 코드는 훨씬 효율적이고 빠르게 채굴을 할 수 있어 해커 입장에선 더 많은 암호화폐를 벌어들일 수 있다고 한다.
시만텍 측은 만일 1개월 동안 온라인 기반 채굴 소득이 3만 달러에 그쳤다면 파일 기반 채굴은 최대 75만 달러에 달했다고 밝히고 있다. 관련 내용은 이곳에서 확인할 수 있다.