ModStealer: 새로운 악성코드의 발견
목요일, Windows, Linux 및 macOS 시스템에서 암호화폐 지갑의 데이터를 훔칠 수 있는 새로운 악성코드 변종이 발견되었습니다. 이 악성코드는 ‘ModStealer’라는 이름으로 알려져 있으며, 공개 당시 주요 안티바이러스 엔진에 의해 거의 한 달 동안 탐지되지 않았습니다.
배포 방식과 의도
ModStealer는 개발자를 대상으로 한 가짜 구인 광고를 통해 배포되었습니다. 이 사실은 보안 회사 Mosyle에 의해 밝혀졌으며, 9to5Mac의 초기 보고서에 따르면 Decrypt는 Mosyle에 추가 정보를 요청했습니다. Mosyle에 따르면, 가짜 구인 광고를 통한 배포는 의도적인 전술로, 이미 Node.js 환경을 사용하고 있을 가능성이 있는 개발자들에게 도달하기 위해 설계되었습니다.
블록체인 보안 회사 Slowmist의 정보 보안 책임자 Shān Zhang은 Decrypt에 “ModStealer는 주류 안티바이러스 솔루션의 탐지를 피하고 광범위한 디지털 자산 생태계에 중대한 위험을 초래합니다”라고 말했습니다.
악성코드의 작동 방식
악성코드가 실행되면, 브라우저 기반 암호화폐 지갑 확장 프로그램, 시스템 자격 증명 및 디지털 인증서를 스캔합니다. Zhang은 “데이터를 원격 C2 서버로 유출합니다”라고 설명했습니다. C2 또는 ‘Command and Control’ 서버는 사이버 범죄자들이 네트워크 내에서 손상된 장치를 관리하고 제어하기 위해 사용하는 중앙 집중식 시스템으로, 악성코드 및 사이버 공격의 운영 허브 역할을 합니다.
macOS를 실행하는 Apple 하드웨어에서 이 악성코드는 지속성 방법을 통해 설정되어 컴퓨터가 시작될 때마다 자동으로 실행되며, 백그라운드 도우미 프로그램으로 위장합니다. 이 설정은 사용자가 알아차리지 못하게 조용히 실행되도록 유지합니다. 감염의 징후로는 ‘.sysupdater.dat’라는 비밀 파일과 의심스러운 서버에 대한 연결이 포함됩니다.
Zhang은 “이러한 지속성 방법은 일반적으로 단독으로 존재하지만, 강력한 난독화와 결합되어 ModStealer를 서명 기반 보안 도구에 대해 강력하게 만듭니다”라고 말했습니다.
위험과 경고
ModStealer의 발견은 Ledger CTO Charles Guillemet의 관련 경고 직후 이루어졌습니다. 그는 화요일에 공격자들이 NPM 개발자 계정을 손상시키고 거래 중에 암호화폐 지갑 주소를 조용히 교체할 수 있는 악성 코드를 퍼뜨리려 했다고 밝혔습니다. 이로 인해 여러 블록체인에서 자금이 위험에 처할 수 있습니다.
Guillemet은 “소프트웨어 지갑이나 거래소에 자금이 있다면, 당신은 모든 것을 잃는 코드 실행 한 번의 거리입니다”라고 경고했습니다.
새로운 악성코드의 잠재적 영향에 대해 질문을 받자, Zhang은 ModStealer가 “암호화폐 사용자와 플랫폼에 직접적인 위협을 초래한다”고 경고했습니다. 최종 사용자에게는 “개인 키, 시드 문구 및 거래소 API 키가 손상될 수 있으며, 이는 직접적인 자산 손실로 이어질 수 있습니다”라고 Zhang은 말하며, 암호화폐 산업에 대해서는 “브라우저 확장 지갑 데이터의 대규모 도난이 대규모 온체인 악용을 촉발할 수 있으며, 신뢰를 침식하고 공급망 위험을 증대시킬 수 있습니다”라고 덧붙였습니다.
