마이크로소프트는 블로그 게시물을 통해 USB 메모리를 통해 확산되는 악성 소프트웨어가 지난 2월부터 윈도우 개인용 컴퓨터를 감염시키고 암호화폐 지갑을 공격해 왔다고 밝혔습니다.
해당 업체는 이 악성 소프트웨어를 "암호화 클리퍼"라고 부르며, Defender Antivirus는 이를 Trojan:Win32/CryptoBandits로 식별합니다.
이 과정은 악성 바로가기 또는 링크(Chainlink) 파일이 포함된 감염된 USB 드라이브에서 시작됩니다. Windows에서 바로가기 파일 이름은 ".lnk"로 끝나며 운영 체제가 컴퓨터의 다른 위치에 저장된 특정 프로그램, 폴더 또는 파일을 열도록 지시합니다.
사용자가 해당 USB 드라이브를 연결하고 바로가기를 클릭하면 "웜"이라고 알려진 악성코드가 PC에 설치됩니다. 설치되면 웜은 두 가지 작업을 수행합니다. 첫째, 암호화폐 지갑을 탈취하는 코드를 지속적으로 실행합니다. 둘째, 새롭고 안전한 USB 드라이브가 동일한 PC에 연결될 때까지 기다립니다.
지갑 탈취 구성 요소는 복사 및 붙여넣기 작업에 사용되는 숨겨진 임시 메모리인 Windows 클립보드를 약 500밀리초마다 모니터링합니다. 사용자가 암호화폐 지갑 시드 구문 이나 비트코인 또는 이더리움 지갑의 개인 키를 복사하면 악성 프로그램은 해당 데이터를 캡처하여 익명 통신을 제공하는 오픈 소스 오버레이인 Tor 네트워크를 통해 공격자의 서버로 전송합니다. 또한 10초 간격으로 5개의 스크린샷을 찍어 함께 전송합니다.
위험은 거기서 끝나지 않습니다.
사용자가 송금을 위해 수신자 주소를 복사하면, 웜은 사용자가 붙여넣기 전에 슬쩍 공격자가 제어하는 주소로 바꿔치기하여, 아무런 표시 없이 송금이 공격자에게 이루어지도록 합니다.
마지막으로, 이 웜은 깨끗한 USB 드라이브를 컴퓨터에 연결하면 확산됩니다. 웜은 깨끗한 USB 드라이브에서 일반 파일, 워드 문서, 엑셀 시트, PDF 파일 등을 검색하여 동일한 이름의 바로가기 파일로 교체하고 드라이브를 감염시킵니다. 그런 다음 이 과정이 반복됩니다.
Microsoft는 이동식 미디어의 자동 실행을 비활성화하고, 그룹 정책을 통해 USB 드라이브에서 .lnk 파일 실행을 차단하고, wscript.exe 및 cscript.exe와 같은 스크립트 호스트를 제한하는 것을 권장합니다. Microsoft Defender 사용자는 관련 활동(포트 9050의 로컬 Tor 프록시 연결 포함)을 확인하기 위해 헌팅 쿼리를 실행할 수도 있습니다.
