마이크로소프트, USB 감염 암호화폐 탈취 악성코드 발견

마이크로소프트(Microsoft)가 USB 드라이브를 통해 확산되며 암호화폐 지갑 정보를 탈취하는 자체 복제형 악성코드를 탐지했다. 이 악성코드는 '크립토 클리퍼(Crypto Clipper)'로 명명되었으며, 기존 백도어와 달리 경량의 구조로 설계돼 탐지가 어려울 수 있다고 회사는 지적했다.

크립토 클리퍼의 주요 작동 방식은 디바이스의 클립보드 내용을 감시해 지갑 주소나 복구 문구 같은 암호화폐 자격증명 패턴을 찾는 것이다. 악성코드는 일단 이들 정보를 발견하면 10초에 걸쳐 5개의 스크린샷을 캡처한다. 수집된 모든 자료는 토르(Tor) 프로토콜을 거쳐 공격자가 제어하는 서버로 전송되며, 이 과정에서 SOCKS5 프록시 네트워크 프로토콜을 활용해 추적을 회피한다.

마이크로소프트는 목요일 발표 자료에서 「이 클리퍼의 실행이 주목할 만한 이유는 전통적인 설치 프로그램이나 IP 기반 명령 제어 인프라에 의존하지 않기 때문」이라며 「휴대용 토르 클라이언트를 배포하고 로컬 SOCKS5 프록시를 통해 트래픽을 경로 지정하며, 데이터 탈취와 원격 코드 실행을 결합해 금전 동기형 스틸러를 경량 백도어로 변모시킨다」고 설명했다.

감염된 USB 드라이브가 장치에 연결되면 악성코드는 해당 머신에 이미 설치돼 있는지 확인한다. 설치되지 않았다면 토르 프록시를 통해 악성코드를 다운로드한다. 탐지 증거를 숨기기 위해 악성코드는 USB 드라이브 내 .lnk 파일들을 스캔한 후 유사한 이름으로 변경한다.