원화 기반 스테이블코인 논의가 활발하게 진행되는 등 암호화폐에 대한 관심이 높아지고 있는 가운데 이러한 사회 분위기를 악용한 악성코드가 유포되고 있어 각별한 주의가 필요하다.
안랩 시큐리티 인텔리전스 센터(ASEC)에 따르면 페이스북에서 암호화폐 거래소 광고로 위장해 사용자를 감염시키는 악성코드가 발견됐다.
이 악성코드는 특정 암호화폐 거래소로 위장해 악성프로그램 설치를 유도한다. 사용자가 다운로드하면 ‘installer.msi’가 설치되며, 시스템 정보, 화면 캡처, 브라우저 정보 등을 수집하는 인포스틸러가 실행된다.
예를 들어 바이낸스로 위장한 사이트가 페이스북 광고에 노출되고, 이를 본 사용자가 광고 내 ‘더 알아보기’ 또는 ‘다운로드’ 버튼을 클릭하면 위장된 웹사이트로 자연스럽게 이동하게 된다.
만약 사용자가 페이스북에 로그인하지 않았거나 URL에 ‘utm_campaign, utm_content, cid, bid, fbclid, fbid’ 등의 파라미터가 포함되지 않은 경우에는 광고와 무관한 일반 사이트로 이동한다.
이러한 조건들을 만족해 위장 사이트로 이동한 경우, 메인 화면에서 Windows용 다운로드 버튼을 통해 악성 파일 다운로드를 유도한다. 사용자가 해당 버튼을 클릭하면 ‘installer.msi’라는 이름의 파일이 다운로드된다.
파일을 다운 받으면 이를 설치하는 과정에서 로컬 호스트의 특정 포트가 리스닝 상태로 열리고, 이후 위장된 웹사이트가 해당 포트를 통해 시스템과의 연결을 시도해 통신을 주고받기 시작한다.
최종적으로 실행되는 악성코드는 브라우저 정보, 텔레그램 정보 등을 수집하며, 키로깅 등 다양한 악성 행위를 수행하는 것으로 알려졌다.
이러한 공격은 암호화폐에 관심 있는 사용자를 대상으로 광고를 통해 유포되기 때문에 각별한 주의가 필요하다. 이미 해외 보안 업체인 Bitdefender, WithSecure에서도 관련 내용을 공개한 바 있다.
ASEC은 “사용자는 파일 다운로드 시 도메인 주소를 확인해 공식 홈페이지인지 유의해야 하며, 광고를 통해 유포되는 파일은 대부분 원치 않는 PUP성 프로그램이거나 악성코드일 가능성이 높으므로 다운로드는 지양해야 한다”고 당부했다.