상세 컨텐츠

본문 제목

크로스 플랫폼 ElectroRAT 악성코드, 가상화폐 사용자 노려

국내외 보안동향

by 알약4 2021. 1. 6. 09:00

본문

 

 

Warning: Cross-Platform ElectroRAT Malware Targeting Cryptocurrency Users

 

사이버 보안 연구원들이 작년 1월부터 시작된 광범위한 사기행위를 발견해 공개했습니다. 공격자들은 가상화폐 사용자들을 타깃으로 트로이목마화된 애플리케이션을 배포하여 타깃 시스템에 이전에는 탐지되지 않았던 원격 접근 툴을 설치했습니다.

 

Intezer에서 ElectroRAT이라 명명한 이 RAT은 처음부터 Golang으로 작성되었으며 윈도우, 리눅스, macOS를 포함한 여러 OS를 공격하도록 설계되었습니다.

 

이 앱은 오픈소스 Electron 크로스 플랫폼 데스크톱 앱 프레임워크를 사용하여 개발되었습니다.

 

연구원들은 아래와 같이 언급했습니다.

 

“ElectroRATGolang을 사용하여 멀티 플랫폼 악성코드를 개발하고 대부분의 안티바이러스 엔진을 피하는 최신 샘플입니다.”

 

다양한 인포 스틸러가 피해자의 지갑에 접근하기 위해 개인 키를 수집하려 시도하는 행위는 꽤 흔합니다. 하지만 동일한 목적을 가진 악성코드가 처음부터 직접 작성되어 다양한 OS를 노리는 경우는 드뭅니다.”

 

지난 12월 처음 발견된 이 캠페인은 C2 서버를 찾는 데 사용되는 Pastebin 페이지의 고유 방문자 수를 기준으로 6,500명 이상을 감염시킨 것으로 추정됩니다.

 

 

<이미지 출처: https://www.intezer.com/blog/research/operation-electrorat-attacker-creates-fake-companies-to-drain-your-crypto-wallets/>  

 

 

공격자는 윈도우, 리눅스, OS용 오염된 애플리케이션을 3개 생성합니다. 이 중 2개는 "Jamm", "eTrade"라는 이름을 사용하며, 세 번째 앱은 가상화폐 포커 플랫폼으로 위장한 "DaoPoker"입니다.

 

이 악성 앱은 해당 캠페인을 위해 특별 제작된 웹사이트에 호스팅될 뿐만 아니라 부주의한 사용자가 오염된 앱을 다운로드하도록 유도하기 위해 트위터, 텔레그램과 "bitcointalk", "SteemCoinPan" 등 정식 가상화폐 및 블록체인 관련 포럼에 광고를 표시하기도 합니다.

 

 

< 이미지 출처 : https://www.intezer.com/blog/research/operation-electrorat-attacker-creates-fake-companies-to-drain-your-crypto-wallets/>

 

 

일단 설치되면, 이 앱은 무해한 것으로 보이는 사용자 인터페이스를 오픈합니다. 하지만 이는 실제로 백그라운드에서 "mdworker"로 숨겨진 상태인 ElectroRAT을 실행하고 키 입력 캡쳐, 스크린 샷 촬영, 디스크의 파일 업로드, 임의 파일 다운로드, 피해자의 컴퓨터에서 C2 서버에서 수신한 악성 명령 실행 등 여러 악성 기능을 포함하고 있습니다.

 

흥미롭게도, 지난 202018“Execmac” 사용자가 게시한 Pastebin 페이지와 이 캠페인 이전에 동일한 사용자가 게시한 페이지를 분석한 결과 Amadey, KPOT과 같은 윈도우 악성코드와 함께 사용된 C2 서버가 발견되었습니다.

 

따라서 공격자들은 잘 알려진 트로이목마를 사용하다가 다양한 OS를 노리는 새로운 RAT을 사용하기 시작한 것으로 추측해볼 수 있었습니다.

 

 

< 이미지 출처 : https://www.intezer.com/blog/research/operation-electrorat-attacker-creates-fake-companies-to-drain-your-crypto-wallets/>

 

  

이 악성코드는 Golang으로 작성되어 모든 안티바이러스 탐지를 회피함으로써 캠페인이 1년 동안 탐지되지 않은 채 지속될 수 있었습니다.”

 

이 캠페인에 피해를 입은 사용자들은 해당 프로세스를 종료하고, 악성코드와 관련된 모든 파일을 삭제하고 자금을 새로운 지갑으로 옮긴 후 패스워드를 변경할 것을 권장합니다.

 

 

 

 

출처:

https://thehackernews.com/2021/01/warning-cross-platform-electrorat.html

https://www.intezer.com/blog/research/operation-electrorat-attacker-creates-fake-companies-to-drain-your-crypto-wallets/

관련글 더보기

댓글 영역