마이크로소프트는 2026년 2월부터 활동해 온 암호화폐 탈취 악성코드를 이용해 윈도우 사용자를 대상으로 하는 새로운 사이버 공격 캠페인을 발견했다고 발표했습니다. 마이크로소프트 위협 인텔리전스 및 마이크로소프트 디펜더 전문가 팀에 따르면, 이 악성코드는 최근 기록된 가장 정교한 변종 중 하나로, 암호화폐 지갑 주소를 탈취할 뿐만 아니라 시드 구문, 개인 키를 수집하고, 스크린샷을 찍고, 해커의 명령에 따라 원격 코드를 실행하는 기능까지 갖추고 있습니다.
공개적으로 접근 가능한 명령줄(C2) 서버나 쉽게 탐지할 수 있는 설치 프로그램을 사용하는 기존의 악성코드 공격과는 달리, 이 악성코드는 Tor 네트워크를 활용하여 전체 명령 및 제어 인프라를 숨깁니다. 이로 인해 보안 전문가들이 공격의 근원을 추적하는 것이 훨씬 더 어려워집니다.
마이크로소프트의 분석에 따르면, 이 공격 캠페인은 ".lnk" 확장자를 가진 악성 바로가기 파일로 시작됩니다. 사용자가 실수로 이러한 파일을 열면 두 가지 구성 요소에 감염됩니다. 첫 번째 구성 요소는 자체 복제되어 시스템 전체로 확산되는 컴퓨터 웜의 일종입니다. 두 번째 구성 요소는 암호화폐 관련 데이터를 훔치는 클리퍼 및 스틸러입니다.
시스템에 성공적으로 침투한 웜은 컴퓨터의 정상 파일을 스캔하여 악성코드를 계속 확산시키기 위한 가짜 바로가기를 생성합니다. 동시에 추가 페이로드를 배포하고 Microsoft Defender 검사에서 제외되도록 시도하여 수명을 연장합니다. 또한 악성코드는 시스템 종료 또는 로그인 후 자동으로 다시 시작되도록 예약 작업을 생성합니다.
가장 주목할 만한 점은 이 악성 프로그램의 작동 방식입니다. 기존의 실행 파일 대신, 이 악성 프로그램은 윈도우 스크립트 호스트(Windows Script Host)와 액티브엑스오브젝트(ActiveXObject)를 결합하여 운영 체제와 직접 상호 작용하도록 설계되었습니다. 윈도우에 내장된 도구를 활용함으로써 비정상적인 동작을 최소화하고 여러 기본적인 보안 조치를 쉽게 우회할 수 있습니다.
악성 프로그램은 작동을 시작하기 전에 주변 환경을 스캔하여 분석 도구를 탐지합니다. 작업 관리자가 실행 중인 것이 감지되면 보안 연구원들의 추적을 피하기 위해 자동으로 종료됩니다. 위협 요소가 감지되지 않으면 "ugate.exe"라는 이름으로 위장한 Tor 프로그램을 은밀 모드로 실행합니다.
Tor가 익명 네트워크에 연결을 완료하는 데 약 1분이 소요된 후, 악성 프로그램은 피해자에 대한 고유 식별자를 생성하고 감염된 장치를 Tor의 숨겨진 서비스에 있는 명령 및 제어 서버에 등록합니다. 그 순간부터 피해자의 컴퓨터는 공격자가 원격으로 제어하는 노드가 됩니다.
마이크로소프트는 해당 악성 소프트웨어가 초당 약 2회 빈도로 클립보드를 지속적으로 모니터링한다고 밝혔습니다. 클립보드에 복사된 모든 데이터는 검사 대상이 됩니다. 특히, 이 악성 소프트웨어는 시드 구문, 개인 키 또는 암호화폐 지갑 주소와 유사한 문자열을 검색하도록 프로그래밍되어 있습니다.
클리퍼(Clipper)는 사용자가 자신의 지갑 주소를 복사하여 거래를 시도하는 것을 감지하면, 해킹자가 소유한 지갑 주소로 해당 주소를 몰래 바꿔치기합니다. 이러한 공격 방식은 수년간 암호화폐 업계에 수천만 달러의 손실을 초래했습니다. 사용자가 거래를 확정하기 전에 수신 주소를 주의 깊게 확인하지 않으면, 거래 금액 전체가 공격자의 지갑으로 바로 이체될 수 있습니다.
악성 소프트웨어는 지갑 데이터를 훔치는 것 외에도 주기적으로 스크린샷을 찍어 Tor 네트워크를 통해 명령 및 제어 서버로 전송할 수 있습니다. 이를 통해 해커는 피해자의 화면에 표시된 추가 로그인 정보, 거래 내역 또는 기타 민감한 데이터를 수집할 수 있습니다.
더욱 위험한 것은 마이크로소프트가 해당 악성코드가 원격 코드 실행을 지원한다는 사실을 발견했다는 점입니다. 명령 및 제어 서버가 특정 명령을 전송하면 악성코드는 감염된 기기에 새로운 코드를 직접 다운로드하고 실행할 수 있습니다. 이는 공격이 암호화폐 탈취에만 국한되지 않고 랜섬웨어, 뱅킹 트로이목마, 스파이웨어와 같은 다른 유형의 악성코드로 이어질 가능성을 시사합니다.
보안 전문가들은 이것이 암호화폐 사용자를 대상으로 하는 공격 추세에 있어 중요한 변화라고 보고 있습니다. 기존의 주소 탈취 공격처럼 단순히 지갑 주소를 훔치는 데 그치지 않고, 이러한 새로운 공격 방식은 피해자의 컴퓨터를 완전한 백도어로 만드는 다양한 기법을 점점 더 많이 활용하고 있습니다.
2025년과 2026년 상반기에는 시드 구문, 암호화폐 지갑, 멀웨어 관련 공격이 전 세계적으로 급격히 증가했습니다. 수많은 보안 보고서에 따르면 해커들은 활동을 숨기기 위해 Windows, PowerShell, Tor와 같은 익명 네트워크에서 사용 가능한 합법적인 도구를 점점 더 많이 활용하고 있습니다. 이러한 추세로 인해 기존의 시그니처 기반 멀웨어 탐지 방식은 효과가 떨어지고 있으며, 기업들은 고급 행동 모니터링 솔루션으로 전환해야만 합니다.
마이크로소프트는 마이크로소프트 디펜더 포 엔드포인트가 이제 의심스러운 자바스크립트 프로세스, Curl을 이용한 데이터 탈취 활동 및 기타 비정상적인 동작과 관련된 경고를 통해 이 캠페인의 여러 구성 요소를 식별할 수 있다고 밝혔습니다. 한편, 마이크로소프트 디펜더 안티바이러스는 이 악성코드 변종을 Trojan:Win32/CryptoBandits.A라는 이름으로 탐지합니다.
전문가들은 암호화폐 사용자들이 자산을 전송하기 전에 지갑 주소를 꼼꼼히 확인하고, 출처를 알 수 없는 바로가기 파일을 열지 않으며, 운영 체제를 정기적으로 업데이트하고, 기존의 바이러스 검사에만 의존하는 대신 사용자의 행동을 모니터링하는 보안 솔루션을 사용할 것을 권장합니다. 특히 많은 양의 디지털 자산을 보유한 사용자의 경우, 하드웨어 지갑을 사용하고 각 거래 전에 수신 주소를 수동으로 확인하는 것이 점점 더 정교해지는 클리퍼 공격에 대한 가장 효과적인 방어책 중 하나입니다.
