Webview2 악용으로 CoinLurker 악성코드 배포: 가짜 업데이트 유도 주의

Hackers Exploit Webview2 to Deploy CoinLurker Malware and Evade Security Detection

 

• 배경
  • CoinLurker는 새롭게 등장한 탈취형(스틸러) 악성코드로, 가짜 소프트웨어 업데이트를 미끼로 배포
  • Go 언어로 작성되어 난독화와 분석 회피 기법을 통해 보안 탐지를 우회
• 공격 기법
  • 가짜 업데이트 유도
    • 공격자는 WordPress 사이트나 멀버타이징(악성 광고), 피싱 이메일, 가짜 CAPTCHA 페이지, SNS 공유 링크 등을 통해 사용자에게 업데이트 알림을 표시
    • 사용자가 “업데이트” 버튼 클릭 시 Microsoft Edge Webview2를 이용해 악성 페이로드 실행
  • Webview2 활용
    • Webview2는 Windows에 사전 설치된 컴포넌트에 의존하고 사용자 상호작용이 필요
    • 동적 분석(샌드박스) 환경이 이를 재현하기 어렵게 만들어 자동화된 탐지 우회
  • EtherHiding 기법
    • 감염된 사이트에 Web3 관련 스크립트 삽입
    • 최종 페이로드(“UpdateMe.exe”, “SecurityPatch.exe” 등)는 Bitbucket 저장소에서 다운로드
    • 배포 파일은 훔친 Extended Validation(EV) 인증서로 서명되어 신뢰성을 가장
  • 다중 계층 인젝터
    • 마지막 단계에서 Microsoft Edge(msedge.exe) 프로세스에 reflective DLL injection 방식으로 악성코드 삽입
• CoinLurker 악성코드 특징
  • 난독화로 분석·탐지 회피
  • 메모리 내 복호화: 실제 페이로드는 런타임 시점에만 메모리에서 디코딩
  • 추가 프로세스(항목) 체크, 조건부 실행, 반복적 리소스 할당 등으로 분석 난이도 상승
  • 암호화폐 지갑(Bitcoin, Ethereum, Ledger Live, Exodus) 디렉터리와 텔레그램, 디스코드, FileZilla 등 계정 자격 증명 탈취
  • 소켓 기반 C2와 통신, 이후 개인정보·계정·암호화폐 지갑 데이터 전송
• 유사 사례
  • 멀버타이징: 그래픽 전문 소프트웨어(FreeCAD, Rhinoceros 3D, Planner 5D 등)에 대한 구글 검색 광고에 악성 링크 삽입
  • I2PRAT(I2Parcae RAT): I2P 네트워크 통한 암호화 통신으로 C2와 연결해 피싱 메일 기반 감염
  • Base64 인코딩된 PowerShell 명령 복사-실행 유도(ClickFix 기법) 등 최신 전술 등장
• 보안 권고
  • 업데이트 경로 검증
    • 소프트웨어 업데이트 알림 시 공식 웹사이트나 공인 스토어에서만 다운로드
    • WordPress, CAPTCHA 페이지 등 비정상 경로로 유도되는 “업데이트” 경고 주의
  • 실행 전 링크·파일 검사
    • 네트워크 트래픽 및 파일 해시 기반 AV/EDR 탐지 강화
    • 정상 인증서라도 탈취되었을 가능성 존재, 전자 서명만으로 신뢰 불가
  • Webview2 및 PowerShell 모니터링
    • Webview2 기반 앱 실행 시 로그 분석
    • PowerShell 명령어 난독화·Base64 Encoded 호출 차단·알림
  • 암호화폐 지갑 보안
    • 이중 인증(MFA), 지갑 파일 백업 및 오프라인 보관
    • 브라우저 확장형 지갑은 최소한으로만 사용, 정기적으로 PC 보안 점검
  • SNS·메신저 링크 주의 교육
    • 무작위 링크 공유, 클릭 전 URL 실제 여부 확인
    • 조직 내부 계정에서도 수신 시 의심 가는 링크 재확인