Posted By ,

비트코인 입금을 유도하는 스캠 메일 유포

ASEC 분석팀은 비트코인 탈취를 목적으로 하는 악성 메일이 국내에 유포 중임을 확인하였다. 메일 본문에는 비트코인 입금과 관련된 내용이 존재하며, 내부에 포함된 악성 URL 클릭 시에 스캠 사이트로 연결되는 것이 특징이다. 

스캠 메일은 아래와 같이 Admin 관리자로 위장하여 Bitcoin Payment이라는 메일 제목으로 유포되고 있으며, 메일의 본문에서는 “고객이 요청하신 대로 비트코인 ​​포트폴리오 관리 사이트(www.fortcoin[.]net/signin)에 25 BTC($1,184,081.00 USD)를 입금했다는 내용과 함께 가입된 고객 ID와 비밀번호를 안내해주고 있다.

[그림 1] 피싱메일 내용

해당 스캠 사이트(www.fortcoin[.]net)는 비트코인 포트폴리오 관리 사이트로 위장하고 있으며 포트폴리오 별로 지갑 관리, 입/출금, 이자 지급 서비스를 제공한다는 명목하에 운용되고 있다.

[그림 2] 서비스 제공 항목
[그림 3] 사이트 특징

메일 본문에 안내된 사이트 주소(www.fortcoin[.]net/signin) 로 접속 시 아래와 같은 로그인 페이지를 확인할 수 있다.

[그림 4] 로그인 페이지

첨부된 고객 ID와 비밀번호 입력하여 로그인을 하게되면 보안을 위해 패스워드 변경과 OTP를 발급받아 사용해야 한다는 메시지를 보여준다.

[그림 5] 패스워드 변경 및 OTP 발급 요구 메시지
[그림 6] 패스워드 변경 페이지

이어서 패스워드 변경을 진행 할 경우, 인증 서버로부터 전용 계정을 부여 받은 것처럼 추후 다시 로그인 시에 동일한 고객 ID와 변경된 비밀번호로 기존에 활동했던 세션을 그대로 이어 사용할 수 있다. 이러한 인증 체계를 사용하는 이유는 동일한 고객 ID를 이용하는 특정 그룹을 보다 쉽게 식별하고 관리하기 위한 것으로 추정된다. (*고객 ID마다 포트폴리오에 입금되어 있는 비트코인 수량이 다름.)

이 후 OTP를 발급받기 위한 휴대폰 번호를 요구하며 SMS 방식을 이용할 경우, 아래와 같은 인증 코드가 문자 메시지로 전송된다.

[그림 7] OTP 발급 페이지
[그림 8] 수신된 OTP 인증 코드

만약 한번이라도 인증으로 사용된 번호라면 해당 번호와는 통신 할 수 없다는 메시지를 보여준다. 이는 공격자가 SMS 문자 메시지 인증 방식을 통하여 사용자를 식별하는 것으로 판단된다.

[그림 9] 이미 사용된 번호에 의한 통신 오류 메시지

이어서 휴대폰으로 전송된 OTP 코드를 입력하게 되면 해당 계정은 온전하게  보호 되었으며 앞으로 메시지함을 이용하여 커뮤니케이션을 하겠다는 메시지를 보여준다.

[그림 10] 계정 보호 조치 완료 메시지

1. 첫번째 홀 – 포트폴리오 생성 페이지

공격자가 만들어 놓은 첫번째 홀은 포트폴리오 생성 페이지이다. 3,6,12개월마다 비트코인을 원하는 수량만큼 예치할 수 있으며 해당 기간에 따른 비율만큼 이자를 지급한다는 명목으로 전용 계좌를 생성하여 사용자로부터 비트코인 입금을 유도하고 있다.  

* savePro 기능은 해당 포트폴리오의 최소 출금 한도를 제한하는 정책이다.  

– 3개월 예치 시 이자율 3%

– 6개월 예치 시 이자율 10%

– 12개월 예치 시 이자율 25%

[그림 11] 포트폴리오 생성 페이지

입금 전용 페이지에서의 최소 입금 한도는 0.0005 BTC로 제한하고 있다. 생성된 포트폴리오를 선택하고 0.0005개 이상의 BTC 수량만큼 입력 후 Deposit Now 버튼 클릭 시에 아래와 같이 매번 새로운 비트코인 지갑 주소가 생성되어 진다.

[그림 12] 입금 전용 페이지-1
[그림 13] 입금 전용 페이지-2

이는 실제 비트코인 블록체인 탐색기 상에서도 확인할 수 있다. 여기서 생성되어진 지갑의 개인키는 공격자가 가지고 있을 것으로 판단되며 이는 입금된 비트코인을 탈취하기 위한 수단으로 사용될 것이다.

[그림 14] 블록체인 탐색기에서 확인된 비트코인 주소

2. 두번째 홀 – 이미 생성되어 있는 가짜 포트폴리오

로그인 시에 사용된 고객 ID같은 경우 기본적으로 25 비트코인을 12개월 예치한 포트폴리오2가 생성되어 진행 중에 있는 상태이며 사이트 내의 트렌젝션 페이지에서는 인위적으로 관리되어 있는 포트폴리오 히스토리를 확인할 수 있다.

[그림 15] 가짜 포트폴리오 2
[그림 16] 인위적인 포트폴리오2 히스토리

공격자가 만들어 놓은 두번째 홀은 이미 생성되어 있는 가짜 포트폴리오 2이다. 예치되어 있는 25개의 비트코인을 출금 시도하려고 하면 첫 출금 제한으로 인하여 0.0001 비트를 먼저 출금한 뒤에 남은 자금을 회수 할 수 있다는 메시지를 보여준다.

[그림 17] 가짜 포트폴리오2 출금 페이지

실제로 입금 받을 비트코인 개인 지갑의 주소를 입력하고 0.0001 비트에 대한 출금을 진행하게 되면 공격자 추정 지갑(bc1qt80xra3r2df8gvzr0pu 8vce98ltk6zxlr3fx9z)으로부터 보통 하루 안에 0.0001비트가 입금 되어지는 것을 확인 할 수 있다.
(*단 이미 한번 사용된 휴대폰 번호로는 더 이상의 중복 출금은 불가능.)

[그림 18] 블록체인 탐색기에서 확인된 0.0001 BTC 입금 내역

이 후 추가로 남은 24.9999 비트코인을 출금하려고 하면 savePro 활성화로 인하여 최소 25.006 BTC부터 출금 할 수 있다고 하면서 해당 포트폴리오의 지갑 주소로 0.0061 BTC에 해당하는 차액을 추가 입금하도록 유도한다. 이는 공격자가 선 지불한 비용(0.0001 비트)의 60배에 해당하는 금액이다.

[그림 19] 출금 제한 메시지-1
*25.006 BTC 미만 출금 제한
[그림 20] 출금 제한 메시지-2
*0.0061 BTC 입금 요구

공격자는 이처럼 사기를 치기 위하여 유저에게 지불하는 최소한의 눈속임 비용으로 자신의 손가락을 내주고 최소한 손이라도 돌려 받겠다는 의도의 교묘한 사기 수법을 사용하고 있다. 사용자들은 출처를 알 수 없는 메일의 경우 열람 시 첨부파일이나 메일에 포함 된 URL을 클릭하지 않도록 주의해야한다.

현재 V3 Lite에서는 아래와 같이 URL 차단을 통해 대응 하고 있다.

[그림 21] V3 URL 차단 메시지

[관련 IOC 정보]
– hxxps://fortcoin[.]net/signin
– bc1qt80xra3r2df8gvzr0pu8vce98ltk6zxlr3fx9z

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:,,,

5 3 votes
별점 주기
guest

0 댓글
Inline Feedbacks
View all comments