디지털 자산 세계의 새로운 위협
최근 디지털 자산 세계에서 새로운 암호화폐 악성코드가 유행하고 있습니다. 공격자들은 지혜롭고 다양한 방법으로 접근하여 사용자들을 위협하고 있습니다. 이 새로운 위협의 중심에는 러시아 기반의 고도로 발전된 지속적 위협(APT) 그룹인 ‘Librarian Ghouls’와 ‘Crocodilus’라는 안드로이드 뱅킹 트로이의 뿌리를 가진 크로스 플랫폼 스틸러가 있습니다.
“Librarian Ghouls의 최신 캠페인은 AnyDesk와 같은 합법적인 소프트웨어를 사용하여 암호화폐 채굴기와 키로거를 숨깁니다. 그들은 침투한 후 조용히 있다가 자정에 행동을 시작합니다.”
– 카스퍼스키 위협 인텔리전스 (2025년 6월 9일)
이 APT 그룹은 피싱 이메일을 통해 일상 문서(예: 결제 주문)로 위장하여 공격을 시도합니다. 파일을 열면 악성코드가 다양한 작업을 수행합니다: 4t Tray Minimizer 설치로 악성 프로세스를 숨기고, 원격 액세스를 위한 AnyDesk를 배포하며, XMRig를 사용해 모네로를 채굴하는 등의 행동을 합니다.
자정에 활성화되는 악성코드
특히 2025년에는 자정에 활성화되는 악성코드가 등장하여, 탐지를 피하기 위해 밤에만 작업을 수행합니다. 이런 방법으로 그들은 지갑 자격 증명을 도용하고, XMRig를 사용해 모네로를 채굴하며, 민감한 데이터를 탐지되지 않고 유출합니다. 피해자는 몇 주 후에야 뭔가 잘못되었음을 감지하게 되지만, 그때는 이미 지갑 금액이 소실되거나 시스템이 복구할 수 없는 수준으로 손상된 경우가 많습니다.
Crocodilus의 진화
원래 터키의 뱅킹 트로이 프로그램이었던 크로코디루스는 이제 다음과 같은 방법으로 전 세계 암호화폐 사용자들을 타겟으로 삼고 있습니다: Coinbase, MetaMask 또는 채굴 도구를 위장한 가짜 앱, 지갑 데이터를 수확하기 위한 자동화된 시드 문구 추출기, 그리고 “은행 지원”을 가장한 사회 공학적 접근입니다.
“Crocodilus의 새로운 해킹 기술은 매우 정교하여 시드 문구를 정확하게 추출합니다. 가짜 X 링크를 클릭하는 순간, 당신의 지갑은 사라집니다.”
– ThreatFabric MTI 팀 (2025년 6월 3일)
또한 크로코디루스는 지역 위협에서 전 세계적인 위협으로 신속하게 발전했습니다. 이제 더 이상 안드로이드에 국한되지 않고, 악성 브라우저 확장 프로그램, 복제된 데스크톱 앱, 심지어 텔레그램 봇까지 타겟으로 삼고 있습니다. 이 악성코드의 가장 치명적인 특징은 클립보드 데이터, 스크린샷 및 자동 완성 데이터를 통해 시드 문구를 도용할 수 있는 능력입니다. 때때로 피해자가 특정한 타겟이 아닌 경우조차도 피해를 입게 됩니다.
다크넷과 새로운 시장
위협 행위자들은 다크넷 포럼에서 타겟 지갑에 대한 접근 권한을 판매하기 시작했으며, 도용된 암호화폐 자산을 신속하게 거래하는 암시장이 개발되었습니다. 크로코디루스는 가짜
