마이크로소프트는 암호화폐 자격 증명을 찾기 위해 USB 드라이브를 통해 확산되고 공격자가 제어하는 서버로 전송하는 새로운 자가 전파 악성 코드를 발견했다고 밝혔습니다.
회사는 이 웜을 Crypto Clipper라고 명명했습니다. 이 웜은 장치 클립보드의 내용을 모니터링하여 지갑 주소나 시드 문구와 일치하는 패턴을 찾기 때문입니다. 발견되면 이 악성코드는 10초 동안 5개의 스크린샷을 찍습니다. 자격 증명과 스크린샷은 모두 중복 노드를 통해 트래픽을 전송하여 익명 라우팅을 제공하는 네트워크 프로토콜인 Tor를 통해 공격자에게 전송되므로 로그는 전송 및 수신 IP 주소를 모두 캡처할 수 없습니다. Crypto Clipper는 프록시 서버를 통해 트래픽을 전송한 후 최종 목적지로 전달하는 네트워크 프로토콜인 SOCKS5 프록시를 사용하여 Tor 연결을 설정합니다.
가벼운 백도어
마이크로소프트는 목요일 “이 클리퍼의 실행은 기존 설치 프로그램이나 노출된 IP 기반 C2 인프라에 의존하지 않기 때문에 주목할 만하다”고 밝혔습니다. “대신 휴대용 Tor 클라이언트를 배포하고 로컬 SOCKS5 프록시를 통해 트래픽을 라우팅하며 데이터 도난과 원격 코드 실행을 혼합하여 금전적인 동기가 있는 도둑을 가벼운 백도어로 전환합니다.”
마이크로소프트는 크립토 클리퍼(Crypto Clipper)가 USB 드라이브의 .lnk 파일을 통해 확산되는 것을 관찰했다고 밝혔습니다. 이러한 파일은 실행 가능한 코드를 저장합니다. 감염된 USB 드라이브가 장치에 연결되면 코드는 해당 드라이브가 컴퓨터에 이미 설치되어 있는지 확인합니다. 그렇지 않은 경우 악성코드는 Tor 프록시를 통해 이를 다운로드합니다. 웜의 증거를 더 잘 숨기기 위해 악성코드는 감염된 USB 드라이브를 검사하고 비슷한 이름으로 .lnk 파일의 이름을 지정합니다.
관련 정보는 아래 링크에서 확인하세요