New MassJacker Malware Targets Piracy Users, Hijacking Cryptocurrency Transactions
- 공격 개요 및 유포 경로
- 보안 기업 CyberArk에 따르면, MassJacker로 명명된 신규 클리퍼(Clipper) 악성코드가 불법 소프트웨어 다운로드 사용자를 타깃으로 유포 중
- 감염은 pesktop[.]com이라는 해적판 소프트웨어 제공 사이트에서 시작되며, 해당 사이트는 악성 실행파일을 통해 사용자 시스템에 악성코드를 설치
- 감염 체인 및 페이로드 구조
- 초기 실행파일은 PowerShell 스크립트를 통해 Amadey 봇넷 악성코드 및 두 개의 .NET 바이너리(32비트/64비트)를 설치
- 주요 바이너리인 PackerE는 암호화된 DLL을 다운로드하며, 이 DLL은 다시 두 번째 DLL을 호출하여 InstalUtil.exe 프로세스에 악성 페이로드를 인젝션
- 악성 페이로드는 Just-In-Time(JIT) 후킹, 메타데이터 토큰 매핑, 커스텀 가상머신을 활용해 탐지 및 분석 회피
- 클리퍼 악성코드 동작 방식
- MassJacker는 사용자의 클립보드 복사 이벤트를 실시간 감시하는 이벤트 핸들러 생성
- 정규표현식(Regex)을 통해 암호화폐 지갑 주소 형식 문자열을 탐지하고, 감지되면 공격자가 제어하는 지갑 주소로 자동 치환
- 치환에 사용되는 지갑 주소 목록은 원격 서버로부터 주기적으로 다운로드됨
- 피해 범위 및 공격자 인프라
- CyberArk는 778,531개의 고유 지갑 주소를 공격자가 사용하는 것으로 식별
- 이 중 423개 주소에 약 95,300달러 상당 암호화폐가 남아 있었으며, 과거 누적 기준으로 약 336,700달러가 해당 주소를 통해 이체된 것으로 분석
- 단일 지갑에서는 600 SOL(약 87,000달러)가 보관된 정황 확인, 350건 이상의 거래 내역 존재
- 코드 유사성 및 위협 행위자 정체
- MassJacker는 2020년에 발견된 MassLogger 악성코드와 JIT 후킹 기법 및 구조적 유사성을 보임
- 다만 현재까지는 명확한 공격자 신원은 확인되지 않았으며, MassLogger와 동일 제작자일 가능성 존재
- 결론
- MassJacker는 불법 소프트웨어 이용자 심리를 노린 사회공학 기반 공격으로, 사용자 행위 기반 탐지 회피에 특화
- 암호화폐 지갑 사용자 및 일반 사용자 모두 클립보드 정보 확인 및 모니터링 주기화, 정식 소프트웨어 사용, 클리퍼 탐지 가능한 보안 솔루션 적용이 중요
- 보안 담당자는 지갑 주소 자동 치환 행위 탐지 룰 구성 및 감염 경로인 악성 사이트 차단 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| GSMA, RCS에 메시지 계층 보안(MLS) 기반 종단간 암호화(E2EE) 공식 도입 (0) | 2025.04.20 |
|---|---|
| SuperBlack 랜섬웨어, Fortinet 방화벽 취약점 악용해 고도화된 침투 공격 수행 (0) | 2025.04.20 |
| 이스라엘 국적 LockBit 개발자 Rostislav Panev, 미국으로 범죄인 인도 (0) | 2025.04.20 |
| OBSCURE#BAT 악성코드 캠페인, 루트킷 r77을 활용한 은폐 및 지속성 확보 전략 (0) | 2025.04.20 |
| Storm-1865 위협 행위자의 Booking.com 사칭 피싱 캠페인 분석 (0) | 2025.04.20 |