□ 개요
가상화폐 탈취를 위한 공격이 지속적으로 이루어지고 있어 가상화폐를 거래하는 사용자는 특히 주의가 필요하다.
□ 내용
금일 오전에 코빗 거래소를 사칭하여 악성코드가 포함된 이메일이 유포되었다. "[긴급] 코빗 거래소"라는 제목으로 유포되었으며 공지사항.zip 파일명의 대용량 첨부파일이 링크되어 있다.
[그림1] 가상화폐 거래소를 사칭한 이메일
공지사항.zip 파일을 다운로드 받으면 공지사항.png.vbs파일이 포함되어 있으며 실행시 특정 사이트에서 이미지 파일을 다운로드 후 출력한다. 해당 이미지는 코빗 거래소의 정상적인 공지내용이다.
- hxxp://agxx.co.kr/bbs/dxxx/xxr/note.png
[그림2] 가상화폐 거래소 공지
그러나, 추가로 svchow.dat 파일(Base64 인코딩)을 다운로드 하며 svchow.dll 파일로 복호화한 후 정상 rundll32.exe 파일을 이용하여 악성코드를 실행시킨다.
- hxxp://agxx.co.kr/bbs/dxxx/xxr/svchow.dat
[그림3] 악성코드 다운로드 및 실행
실행된 svchow.dll 파일은 지속적으로 사용자의 컴퓨터 화면을 캡처하고 키보드 입력 값을 저장한다.
[그림4] 사용자 컴퓨터 화면 캡처
[그림5] 사용자 키보드 입력 값 저장
□ 결론
최근 가상화폐를 탈취하기 위한 시도가 계속해서 발견되고 있으며 가상화폐 거래소보다는 상대적으로 보안에 취약한 일반 사용자들을 대상으로 하는 공격이 빈번하게 발생하고 있으므로 의심스러운 메일이나 링크는 절대 열람하지 않는 것이 바람직하다.
□ 바이로봇 진단명
VBS.S.Downloader
Trojan.Win32.KeyLogger