브라질의 암호화폐 보유자를 위한 경고
브라질의 암호화폐 보유자들은 WhatsApp 메시지를 통해 전파되는 하이재킹 웜과 은행 트로잔을 포함한 정교한 해킹 캠페인에 주의해야 한다. Trustwave의 사이버 보안 연구팀 SpiderLabs의 새로운 보고서에 따르면, “Eternidade Stealer“로 알려진 은행 트로잔은 “가짜 정부 프로그램”이나 “배송 알림”과 같은 사회 공학 기법을 통해 WhatsApp 메시지로 전파되고 있으며, 친구들로부터의 메시지와 사기 투자 그룹의 메시지도 포함된다.
SpiderLabs의 연구원인 Nathaniel Morales, John Basmayor, Nikita Kazymirskyi는 “WhatsApp은 브라질 사이버 범죄 생태계에서 가장 많이 악용되는 통신 채널 중 하나로 남아 있다. 지난 2년 동안 위협 행위자들은 플랫폼의 막대한 인기를 이용해 은행 트로잔과 정보 탈취 악성코드를 배포하는 전술을 정교화했다”고 밝혔다.
해킹 과정과 악성코드의 작동 방식
일반인이 이해하기 쉽게 설명하자면, WhatsApp의 웜 링크를 클릭하면 피해자가 웜과 은행 트로잔에 감염되는 연쇄 반응이 시작된다. 웜은 계정을 하이재킹하고 피해자의 연락처 목록을 확보한다. 비즈니스 연락처와 그룹을 무시하고 개별 연락처를 타겟으로 삼기 위해 “스마트 필터링”을 활용하여 보다 효율적인 프로세스를 진행한다.
한편, 은행 트로잔은 피해자의 장치에 자동으로 다운로드되는 파일로, 백그라운드에서 Eternidade Stealer를 배포하여 브라질의 다양한 은행 및 핀테크 또는 암호화폐 거래소와 지갑에 대한 금융 데이터와 로그인 정보를 스캔할 수 있다. 악성코드가 장치를 공격하는 방식과 해킹이 진행되는 과정을 설명하는 인포그래픽도 있다.
이 악성코드는 탐지를 피하거나 종료되는 것을 방지하는 영리한 방법을 가지고 있다. 고정된 서버 주소 대신, 사전에 설정된 Gmail 계정을 이용해 이메일을 통해 새로운 명령을 확인한다. 이를 통해 해커들은 새로운 이메일을 보내 명령을 변경할 수 있다.
“이 악성코드의 주목할 만한 특징 중 하나는 하드코딩된 자격 증명을 사용하여 이메일 계정에 로그인하고, 그로부터 C2 서버를 검색한다는 점이다. 이는 C2를 업데이트하고 지속성을 유지하며 네트워크 수준에서 탐지를 피하는 매우 영리한 방법이다. 만약 악성코드가 이메일 계정에 연결할 수 없다면, 하드코딩된 대체 C2 주소를 사용한다”고 보고서는 전했다.
안전하게 지내는 방법
안전하게 지내는 방법으로는 WhatsApp과 같은 앱 사용자들이 신뢰할 수 있는 연락처로부터 온 링크라도 조심스럽게 접근할 것을 권장한다. 링크가 괜찮은지 확인하기 위해 별도의 앱으로 메시지를 보내는 것이 유용한 전술이 될 수 있으며, 제한된 맥락으로 갑자기 전송된 링크에 대해 의심을 가져야 한다.
소프트웨어를 최신 상태로 유지하는 것도 구버전의 잠재적 버그로부터 사람들을 보호하는 데 도움이 될 수 있으며, 안티바이러스 소프트웨어도 문제를 플래그하는 데 도움이 될 수 있다. 누군가 해킹당했다면, 모든 잠재적 접근 지점을 즉시 동결하여 피해를 막는 것이 중요하다. 자금을 추적하는 것도 거래소, 연구원 또는 당국이 자산이 어디로 가는지를 추적하는 데 도움이 될 수 있으며, 해커의 지갑을 동결하는 데 기여할 수 있다.
