하우리 로고 이미지

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

가상화폐 탈취를 위한 공격 주의!
등록일 :
2018.07.18

□ 개요

가상화폐 탈취를 위한 공격이 지속적으로 이루어지고 있어 가상화폐를 거래하는 사용자는 특히 주의가 필요하다.

 

□ 내용

금일 오전에 코빗 거래소를 사칭하여 악성코드가 포함된 이메일이 유포되었다. "[긴급] 코빗 거래소"라는 제목으로 유포되었으며 공지사항.zip 파일명의 대용량 첨부파일이 링크되어 있다.

 [그림1] 가상화폐 거래소를 사칭한 이메일

 

공지사항.zip 파일을 다운로드 받으면 공지사항.png.vbs파일이 포함되어 있으며 실행시 특정 사이트에서 이미지 파일을 다운로드 후 출력한다. 해당 이미지는 코빗 거래소의 정상적인 공지내용이다.

- hxxp://agxx.co.kr/bbs/dxxx/xxr/note.png

 [그림2] 가상화폐 거래소 공지

 

그러나, 추가로 svchow.dat 파일(Base64 인코딩)을 다운로드 하며 svchow.dll 파일로 복호화한 후 정상 rundll32.exe 파일을 이용하여 악성코드를 실행시킨다.

- hxxp://agxx.co.kr/bbs/dxxx/xxr/svchow.dat

 [그림3] 악성코드 다운로드 및 실행

 

실행된 svchow.dll 파일은 지속적으로 사용자의 컴퓨터 화면을 캡처하고 키보드 입력 값을 저장한다.

 [그림4] 사용자 컴퓨터 화면 캡처

 

 [그림5] 사용자 키보드 입력 값 저장
 

저장된 컴퓨터 화면과 키보드 입력 값을 서버로 전송한다.
- hxxp://agxx.co.kr/bbs/dxxx/xxr/F.php

 

□ 결론

최근 가상화폐를 탈취하기 위한 시도가 계속해서 발견되고 있으며 가상화폐 거래소보다는 상대적으로 보안에 취약한 일반 사용자들을 대상으로 하는 공격이 빈번하게 발생하고 있으므로 의심스러운 메일이나 링크는 절대 열람하지 않는 것이 바람직하다.

 

□ 바이로봇 진단명

VBS.S.Downloader
Trojan.Win32.KeyLogger

 

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top