XRP와 BTC가 새로운 악성코드 캠페인의 타겟이 되다 – U.Today

4시간 전
2분 읽기
4 조회수

Silent Swap: 정교한 암호화폐 탈취 캠페인

맥아피 고급 위협 연구팀의 사이버 보안 연구자들이 발견한 “Silent Swap”이라는 이름의 매우 정교한 암호화폐 탈취 악성코드 캠페인은 사용자 클립보드를 가로채고 수정하여 합법적인 암호화폐 지갑 주소를 가짜 주소로 교환합니다. 범죄자들은 비트코인(BTC), 이더리움(ETH), XRP, 비트코인 캐시, 대시 및 기타 암호화폐를 노리고 있습니다.

정교한 기술과 감염 경로

Silent Swap은 원시적인 “크립토 클리퍼”와는 달리 놀라운 수준의 정교함을 자랑합니다. 이 캠페인은 고급 브라우저 조작, 분산형 명령 및 제어(C2) 인프라, 그리고 기타 최첨단 기술에 의존합니다. 감염은 일반적으로 피해자가 서명되지 않은 .NET 또는 Golang 설치 프로그램을 다운로드하면서 시작됩니다. 이들은 종종 합법적인 소프트웨어의 무료 또는 크랙 버전으로 위장되어 있습니다.

설치 프로그램은 이후 “Google Notes”라는 무해한 애플리케이션으로 가장한 악성 확장을 배포합니다. Silent Swap은 브라우저의 구성 파일을 조작하여 Chromium 기반 브라우저(구글 크롬, 마이크로소프트 엣지, 브레이브, 오페라 등)에 강제로 사이드로드됩니다.

보안 우회 및 악성 행위

일반적으로 Chromium 브라우저는 보안 검증 데이터를 저장합니다. Silent Swap은 코드를 주입한 후 이러한 보안 값을 재계산하고 업데이트하여 이 방어를 우회합니다. 초보 피해자에 의해 설치되는 “Google Notes” 확장은 침해적인 권한을 부여합니다.

“확장이 BTC, ETH, XRP, 비트코인 캐시 또는 대시의 정규 표현식 패턴과 일치하는 복사된 주소를 감지하면, 하드코딩된 대체를 사용하지 않습니다. 대신 공격자의 백엔드 서버에 쿼리를 보냅니다.”

Silent Swap의 악성 행위자들은 또한 악성코드에 명령 및 제어(C2) 도메인을 하드코딩하지 않습니다. 대신 “EtherHiding”이라는 기술을 활용합니다. Silent Swap은 전 세계적으로 감염 흔적을 남기며, 특히 인도에서 피해자가 집중적으로 발생하고 있습니다.