포스팅 내용

악성코드 분석 리포트

스팸메일로 위장한 크립토재킹 공격 주의!


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 


금일(18일) 새벽 국내 불특정다수의 사용자에게 스팸메일로 위장한 크립토재킹 공격이 시도된 정황이 포착되었습니다.  


크립토재킹이란 암호화폐를 뜻하는 ‘Cryptocurrency’와 납치를 뜻하는 ‘Hijacking’을 합친 신조어로 사용자의 PC나 스마트폰 자원을 사용자 모르게 암호화폐 채굴에 이용하여 부당이득을 취하는 공격을 뜻합니다. 


해당 스팸메일은 주식관련 내용 문구로 위장하고 있으며, 해당 스팸메일 내부에는 코인하이브 코인 채굴코드가 포함되어 있어 크립토재킹 공격을 시도합니다. 




일부 사용자들의 경우 공격자의 실수로 html 태그가 잘못 사용되어 코드가 그대로 노출된 이메일을 수신하기도 하였습니다. 



해당 메일에 포함되어 있는 링크를 클릭하면 다음과 같은 사이트로 접속됨과 동시에 백그라운드에서 코인하이브 스크립트가 동작하며 사용자 PC 자원을 이용하여 암호화폐 채굴을 시작합니다. 



코인하이브 스크립트는 백그라운드에서 동작하기 때문에 사용자는 별 다른 이상을 느끼지 못하며,일부 사용자 PC의 경우 CPU 사용량이 급증하여 PC가 느려지는 현상이 발생할 수 있습니다. 다만 해당 페이지에서 이탈 할 경우 암호화폐 채굴 작업은 중단됩니다. 


코인하이브란 원래 웹사이트의 광고 없이도 수익을 낼 수 있도록 하는 취지로 개발된 것입니다.


즉, 사용자가 방문한 웹사이트에 코인하이브 파일이 포함되어 있어 사용자가 해당 웹사이트에서 정보를 얻는 대가로 웹서핑을 하는 동안 사용자의 CPU 자원을 이용하여 암호화폐를 채굴하여 수익을 얻는 새로운 수익모델입니다. 


실제로 유니세프 호주지사는 코인하이브의 변형된 버전인 오세마인드를 이용하여 사용자 자신들의 컴퓨팅 파워를 자선단체에 기부할 수 있도록 하고 있습니다.


하지만 문제는 사용자의 동의없이 사용자의 CPU 자원을 이용하는 데서 문제가 발생하고 있습니다. 


실제로 많은 사람들이 코인하이브를 이용하여 이용자들의 동의없이 불법적으로 암호화폐를 채굴하고있으며, 올해 6월 일본에서는 사용자 동의없이 실행되는 크립토재킹을 통해 불법으로 간주하여 암호화폐를 채굴한 사람들에게 벌금형을 선고하기도 했습니다.


사용자 여러분들께서는 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대한 접근을 지양하시고, 검증되지 않은 파일을 실행하기 전에는 반드시 백신 프로그램을 이용하여 악성 여부 검사를 진행해 주시기 바랍니다.





티스토리 방명록 작성
name password homepage