불법 소프트웨어 유포 사이트 통한 MassJacker 멀웨어 유포…가상화폐 클립보드 탈취 집중

불법 소프트웨어 사용자 노리는 MassJacker 멀웨어 유포...가상화폐 탈취 목적 - 데일리시큐

불법 소프트웨어 사용자 노리는 MassJacker 멀웨어 유포...가상화폐 탈취 목적 - 데일리시큐

 

• 악성코드 개요
  • MassJacker는 클립보드 감시형 Clipper 멀웨어로, 사용자의 가상화폐 지갑 주소를 탈취해 공격자의 주소로 대체
  • 주된 감염 경로는 불법 소프트웨어를 제공하는 것으로 위장된 pesktop[.]com이라는 웹사이트
  • 악성 실행 파일을 통해 PowerShell 스크립트 실행 → Amadey 봇넷 및 .NET 바이너리 설치
• 주요 악성 기능 및 기법
  • PackerE 바이너리: 암호화된 DLL을 내려받아 은폐 기능 강화
  • DLL 로딩 및 프로세스 주입: 정상 윈도우 프로세스 InstallUtil.exe에 악성 페이로드 주입
  • JIT 훅킹 및 메타데이터 토큰 매핑 활용: 함수 호출을 은폐하고, 분석을 방해
  • 가상 머신 기반 실행 방식: 일반 .NET 코드 대신 해석기로 명령 실행하여 탐지 회피
• 클립보드 감시 및 주소 변조 메커니즘
  • 이벤트 핸들러를 통해 클립보드 감시
  • 가상화폐 지갑 주소 패턴이 감지되면 공격자의 지갑 주소로 자동 변경
  • 사용자는 인지하지 못한 채 공격자에게 암호화폐 송금
• 공격 규모 및 자금 흐름
  • 77만 개 이상의 공격자 지갑 주소 확인
  • 약 95,000달러 상당의 암호화폐가 423개 지갑에 보관 중
  • 총 유입된 자금은 33만 6천 달러(약 4.5억 원) 이상으로 추정
  • 단일 지갑에서 약 600 SOL 보관, 350건 이상 트랜잭션 확인
• 제작자 연관성
  • MassJacker는 2020년 발견된 MassLogger와 코드 유사성 보유
  • JIT 훅킹 기법, .NET 기반 구조 등에서 유사점 확인
  • 동일 제작자에 의해 개발됐을 가능성 존재
• 보안 권고
  • 불법 소프트웨어 제공 사이트 이용 금지, 공식 배포처에서만 다운로드
  • 클립보드 내 주소 자동 변경 탐지 기능 탑재한 보안 솔루션 도입 권장
  • 암호화폐 송금 전 지갑 주소의 마지막 6자리 등 재확인 필요
  • 정기적인 안티바이러스 업데이트와 시스템 점검 수행
  • 비정상적인 InstallUtil.exe 실행 감시 및 차단 정책 수립
• 결론
  • MassJacker는 기존 정보탈취형 멀웨어의 변종으로 Clipper 기능에 집중하며, 가상화폐 사용자에 실질적 피해 초래
  • 불법 소프트웨어 유포 채널은 여전히 효과적인 초기 감염 수단으로 작동 중이며, 사용자의 보안 인식 강화가 필요
  • 유사 캠페인 확산 가능성에 대비해 클립보드 기반 탐지 기법과 JIT 훅킹 분석 대응 역량 확보가 중요