암호화폐 거래소로 위장한 페이스북 광고에 의한 악성코드 유포
AhnLab SEcurity intelligence Center(ASEC)은 암호화폐 사용자를 대상으로 페이스북 광고를 통해 유포되는 악성코드를 확인했다. 해당 악성코드는 특정 암호화폐 거래소로 위장하여 악성 프로그램 설치를 유도하며 사용자가 위장된 웹사이트에서 파일을 다운로드하면 “installer.msi”라는 이름의 파일이 저장되며, 설치가 진행된다. 설치 과정에서 위장된 웹사이트에 로드된 JavaScript와 통신을 수행하게 되며, 최종적으로 시스템 정보, 화면 캡처, 브라우저 정보
코인 지갑 주소를 변경하는 악성코드 유포 중 (Clipbanker)
ASEC 분석팀은 최근 복사한 코인 지갑 주소를 공격자의 지갑 주소로 변경하는 기능을 갖는 악성코드가 유포 중인 것을 확인하였다. 해당 악성코드는 아래의 글에서 언급한 샘플들과 동일한 패커로 포장되어 유포 중이다. 동일 외형의 서로 다른 악성코드 배포 중: 서비스형 악성코드 확산? ASEC 분석팀은 Nemty, Ryuk, BlueCrab(=Sodinokibi) 랜섬웨어와 Raccoon, Predator 정보유출형 악성코드들이 동일한 외형의 정상 프로그램을 위장하여 유포중인 것을 확인하였다. 소스코드가 공개된 정상 프로그램.. https://asec.ahnlab.com/1276 코인 지갑 주소의 경우 길고 랜덤한 문자열을 갖기 때문에 일반 사용자가 직접 외워서 쓰기가 쉽지 않다. 주로 주소 문자열을 저장해둔 후 필요할 때 복사 및 붙여넣는 방식으로 사용할 것이다. 악성코드가 감염된 환경에서는 사용자가 코인 지갑 주소를 복사하고 붙여넣는 순간 사용자의 지갑 주소가 악성코드 제작자의 지갑 주소로 변경된다. 복사 후 붙여넣기 할 때 변경되는 코인 지갑 주소 위에서는 비트코인과 모네로의 결과만 존재하지만, 이더리움,
