해커들의 새로운 암호화 채굴 캠페인
해커들이 3,500개 이상의 웹사이트를 감염시켜 방문자의 브라우저를 통해 Monero를 채굴하는 은밀한 암호화 채굴 스크립트를 배포했습니다. Monero는 거래 추적이 어려운 프라이버시 중심의 암호화폐입니다. 이 악성코드는 비밀번호를 훔치거나 파일을 잠그지 않고, 대신 방문자의 브라우저를 Monero 채굴 엔진으로 조용히 전환하여 사용자 동의 없이 소량의 처리 능력을 빼앗습니다.
사이버 보안 연구자들의 발견
이 캠페인은 현재도 활발히 진행 중이며, 사이버 보안 회사 c/side의 연구자들에 의해 처음 발견되었습니다. c/side는 금요일에 다음과 같이 밝혔습니다:
“CPU 사용량을 제한하고 WebSocket 스트림에서 트래픽을 숨김으로써 전통적인 크립토재킹의 전형적인 징후를 피했습니다.”
크립토재킹은 일반적으로 소유자의 지식 없이 누군가의 장치를 무단으로 사용하여 암호화폐를 채굴하는 행위를 의미합니다. 이 전술은 2017년 말 Coinhive의 부상과 함께 대중의 주목을 받기 시작했으며, Coinhive는 2019년에 종료되기 전 잠시 크립토재킹 장면을 지배했습니다.
조용한 복귀와 새로운 전략
같은 해, 그 유행에 대한 보고서는 상충되었으며, 일부는 Decrypt에 이전 수준으로 돌아오지 않았다고 전했습니다. 그러나 일부 위협 연구소는 그 당시 29%의 증가를 확인했습니다. 반세기가 지난 지금, 이 전술은 조용한 복귀를 준비하는 것으로 보입니다. 시끄럽고 CPU를 과부하시키는 스크립트에서 은밀하고 지속적인 저프로필 채굴기로 재구성되고 있습니다.
오늘날의 캠페인은 장치가 소모되지 않도록 수천 개의 사이트에 조용히 퍼지며, c/side가 말하는 새로운 플레이북을 따릅니다. “낮게 유지하고, 천천히 채굴하라”는 전략의 변화는 우연이 아닙니다. 캠페인에 익숙한 정보 보안 연구자는 익명을 요구하며 Decrypt와의 인터뷰에서 이렇게 말했습니다:
“이 그룹은 장기적인 접근과 수동 소득을 우선시하기 위해 오래된 인프라를 재사용하는 것으로 보입니다.”
연구자는 Decrypt에 이렇게 덧붙였습니다: “이 그룹은 아마도 과거 Magecart 캠페인에서 해킹된 수천 개의 WordPress 사이트와 전자상거래 상점을 이미 통제하고 있을 것입니다.” Magecart 캠페인은 해커들이 온라인 결제 페이지에 악성 코드를 주입하여 결제 정보를 훔치는 공격입니다.
은밀한 채굴 방식
연구자는 “채굴기를 심는 것은 간단했습니다. 그들은 단순히 난독화된 JS를 로드하기 위해 하나의 스크립트를 추가했으며, 기존 접근을 재사용했습니다.” 그러나 연구자가 주목한 점은 캠페인이 얼마나 조용히 운영되는지로, 이는 이전 방법으로 감지하기 어렵게 만듭니다.
연구자는 Decrypt에 전해졌습니다:
“이전 크립토재킹 스크립트가 감지된 한 가지 방법은 높은 CPU 사용량이었습니다. 이 새로운 물결은 CPU 사용량을 제한하고 WebSockets를 통해 통신하는 제한된 WebAssembly 채굴기를 사용하여 이를 피합니다.”
WebAssembly는 코드가 브라우저 내에서 더 빠르게 실행되도록 하며, WebSockets는 서버와의 지속적인 연결을 유지합니다. 이 두 가지가 결합되어 암호화폐 채굴기가 주목받지 않고 작동할 수 있게 합니다.
위험과 목표
위험은 “암호화폐 사용자를 직접적으로 겨냥하지 않으며, 스크립트가 지갑을 비우지 않기 때문입니다. 기술적으로는 페이로드에 지갑 비우는 기능을 추가할 수 있지만,” 익명의 연구자는 Decrypt에 말했습니다. “실제 목표는 서버 및 웹 애플리케이션 소유자입니다.” 그들은 덧붙였습니다.
