다음과 같이 번역합니다:
최근 많은 피해자들로부터 텔레그램의 "가짜 Safeguard" 사기 사건과 관련된 구조 요청을 받았습니다. 많은 사용자들이 이러한 공격 방식을 잘 모르기 때문에, 초보자든 경험이 풍부한 플레이어든 이 사기에 쉽게 당할 수 있습니다. 본 기사에서는 이 사기의 공격 방식을 자세히 분석하고 효과적인 예방 방법을 제공하여 사용자들의 자산 손실을 방지하는 데 도움을 드리고자 합니다.
사기 분석:
이 유형의 사기는 주로 두 가지로 나뉩니다. 하나는 텔레그램 계정을 훼손하는 것으로, 사기꾼들이 사용자의 전화번호, 인증 코드, 심지어 2단계 인증 비밀번호를 입력하도록 유도하여 텔레그램 계정을 탈취하는 것입니다. 다른 하나는 사용자의 컴퓨터에 악성코드를 심는 것으로, 최근 많이 나타나는 방식입니다. 본 기사에서는 후자의 방식에 중점을 두어 설명하겠습니다.
일부 인기 있는 토큰 에어드랍 행사 중, 사용자들의 FOMO 감정이 고조될 때 텔레그램에서 아래 그림과 같은 채널 화면을 보게 되면 대부분 "Tap to verify"를 클릭하게 됩니다.
"Tap to verify"를 클릭하면 가짜 Safeguard 봇이 열리며, 표면적으로는 인증 과정이 진행되는 것처럼 보이지만 실제로는 매우 짧은 시간 내에 이루어집니다. 이는 사용자로 하여금 계속 조작하도록 강요하는 것입니다.
계속 클릭하면 "가장" 인증에 실패한 것으로 표시되며, 최종적으로 사용자에게 수동 인증을 하도록 유도하는 화면이 나타납니다.
사기꾼들은 Step1, Step2, Step3를 친절하게 구성했습니다. 이때 사용자의 클립보드에는 이미 악성 코드가 심어져 있습니다. 사용자가 이 단계들을 실제로 수행하지 않으면 문제가 없지만, 순순히 따라하면 컴퓨터가 감염됩니다.
또 다른 예로, 공격자가 KOL을 사칭하고 악성 봇을 사용하여 PowerShell 악성 코드 실행을 유도하는 경우가 있습니다. 사기꾼들은 가짜 KOL 계정 X를 만들고 댓글 영역에 텔레그램 링크를 게시하여 "독점" 텔레그램 그룹에 가입하도록 유도합니다. 예를 들어 @BTW0205의 댓글 영역에 "흥미로운 소식"이라는 내용이 나타납니다.
사용자가 해당 텔레그램 채널에 들어가면 인증을 유도합니다. 인증을 클릭하면 가짜 Safeguard가 나타나며, 앞서 설명한 것과 유사한 Step1, Step2, Step3 안내가 나옵니다. 이때 사용자의 클립보드에는 악성 코드가 몰래 심어져 있습니다. 사용자가 이 지침에 따라 실행 창을 열고 Ctrl+V로 악성 코드를 붙여넣으면, 텔레그램 로고와 함께 일부 내용만 보이는 상태로 실행됩니다.
이러한 악성 코드는 일반적으로 PowerShell 명령어로, 실행 후 더 복잡한 악성 코드를 다운로드하여 컴퓨터를 원격 제어 말웨어(Remcos 등)에 감염시킵니다. 컴퓨터가 말웨어에 감염되면 해커가 원격으로 지갑 파일, 니모닉 단어, 개인 키, 비밀번호 등의 민감한 정보를 훼손하고 자산을 탈취할 수 있습니다.
MistTrack 분석:
몇 개의 해커 지갑 주소를 선별하여 온체인 추적 및 반세탁 플랫폼 MistTrack으로 분석했습니다. 솔라나 해커 지갑 주소 HVJGvGZpREPQZBTScZMBMmVzwiaVNN2MfSWLgeP6CrzV, 2v1DUcjyNBerUcYcmjrDZNpxfFuQ2Nj28kZ9mea3T36W, D8TnJAXML7gEzUdGhY5T7aNfQQXxfr8k5huC6s11ea5R은 현재 총 120만 달러 이상의 이익을 얻었으며, SOL과 다양한 SPL 토큰을 포함하고 있습니다.
해커들은 먼저 대부분의 SPL 토큰을 SOL로 전환한 후, SOL을 여러 주소로 분산 이체하고 있습니다. 또한 이 해커 지갑 주소들은 Binance, Huobi, FixedFloat 플랫폼과도 상호작용하고 있습니다.
그 외에도 HVJGvGZpREPQZBTScZMBMmVzwiaVNN2MfSWLgeP6CrzV 주소에는 아직 1,169.73 SOL과 1만 달러 이상의 토큰 잔액이 남아있습니다.
이더리움 해커 지갑 주소 0x21b681c98ebc32a9c6696003fc4050f63bc8b2c6의 첫 거래 시점은 2025년 1월이며, 여러 체인에 걸쳐 있고 현재 잔액은 약 13만 달러입니다.
해당 주소는 이더리움(ETH)을 ChangeNOW, eXch, Cryptomus.com과 같은 여러 플랫폼으로 전송합니다:
예방 방법
컴퓨터가 감염되었다면 즉시 다음과 같은 조치를 취해야 합니다:
1. 이 컴퓨터에서 사용했던 지갑과 자금을 즉시 이동시키십시오. 지갑에 비밀번호가 있다고 해서 안전하다고 생각하지 마십시오.
2. 브라우저에 저장된 비밀번호와 로그인한 계정의 비밀번호와 2FA를 가능한 한 변경하십시오.
3. Telegram 등 다른 계정도 변경할 수 있는 것은 모두 변경하십시오.
가장 극단적인 상황을 가정해야 합니다. 컴퓨터가 감염되었다면 사기꾼에게 투명한 것이나 다름없습니다. 따라서 역발상으로, 만약 당신이 사기꾼이라면 Web3/암호화폐 세계에서 활동하는 컴퓨터를 완전히 장악했다면 어떤 일을 할 것인지 생각해보십시오. 마지막으로 중요한 데이터를 백업한 후 재설치하고, AVG, Bitdefender, Kaspersky 등 유명 백신 프로그램을 설치하여 전체 검사를 하면 문제가 해결될 것입니다.
요약
가짜 Safeguard 사기는 이제 성숙한 해킹 공격 방식이 되었습니다. 댓글 위조로 유도하고, 악성코드를 심어 자산을 훼손하는 전 과정이 은밀하고 효율적입니다. 공격 수단이 점점 정교해짐에 따라 사용자는 온라인상의 유도성 링크와 조작 단계에 더욱 경계해야 합니다. 경각심을 높이고 보안을 강화하며, 잠재적 위협을 신속히 발견하고 처리해야만 이런 사기로부터 효과적으로 보호받을 수 있습니다.
