상세 컨텐츠

본문 제목

Electrum 봇넷, 152,000명 이상 사용자 감염시키고 460만 달러 훔쳐

국내외 보안동향

by 알약(Alyac) 2019. 5. 2. 10:47

본문

Rapidly Growing Electrum Botnet Infects Over 152,000 Users; Steals $4.6 Million


Electrum 봇넷이 비트코인 지갑을 노리는 공격이 점점 거대해지고 있습니다. 


공격자들은 152,000대 이상의 Electrum 봇넷으로 감염된 PC에서 가상 화폐 교환소 인프라 전체를 노리기 시작했습니다. 


공격자가 탈취한 피해자의 자금은 460만 달러에 달했습니다. Electrum은 작년 12월부터 사이버 공격을 행해오던 것으로 나타났습니다. 


한 사이버 범죄수사팀은 Electrum가 인프라 취약점을 악용해 가상 화폐 지갑을 사용하는 사람들이 소프트웨어 악성 버전을 다운로드하도록 속였다는 것을 발견했습니다.


공격자들은 정식 Electrum 가상 화폐 지갑 앱에 의도적으로 에러를 표시하도록 설계된 악성 서버를 Electrum의 peer 네트워크에 추가했습니다.


<이미지 출처: https://thehackernews.com/2019/04/electrum-bitcoin-wallet-botnet.html>


그리고 비공식 GitHub 저장소로부터 악성 가상 화폐 지갑 소프트웨어를 업데이트하고 다운로드할 것을 요구했습니다.


이 피싱 공격을 통해 공격자들은 마침내 피해자들의 가상 화폐 지갑에서 약 250 비트코인(당시 93만 7천 달러 상당)을 훔치고 감염된 시스템을 제어했습니다.


이에 대응하기 위해 Electrum의 개발자들은 공격자들이 사용한 동일한 기술을 악용하여 사용자들에게 앱의 패치된 버전을 다운로드하도록 유도했습니다.


Electrum 측은 Electrum 클라이언트 3.3 이전 버전들은 Electrum 공개 서버에서 더 이상 연결할 수 없다고 밝혔습니다.


또한, 클라이언트를 업그레이드하여 피싱 메시지에 노출되지 않도록 했습니다. 


Linux Tail 사용자들은 Appimage를 다운로드해야합니다


공격자들은 이에 대응하여 정식 Electrum 서버에 DDoS 공격을 가해 정식 노드가 과열되게 만든 다음 이전 버전의 클라이언트를 속여 악성 노드로 연결하도록 시도했습니다.


Malwarebytes Labs의 연구 팀에 따르면, 악성 클라이언트 소프트웨어를 다운로드해 DDoS 공격에 참여하고 있는 감염된 기기의 수는 약 152,000대입니다.


이 캠페인의 배후에 공격자들은 RIG 익스플로잇 키트와 Smoke Loader를 주로 이용하고 있습니다.


그리고 새로운 BeamWinHTTP 로더를 이용하여 “ElectrumDoSMiner”라는 봇넷 악성코드를 배포하고 있습니다.


연구원들은 ElectrumDoSMiner를 받아오는 수백 개의 악성 바이너리가 있으며, 지금까지 발견된 바이너리 외에도 더 많은 감염 벡터가 있을 것으로 추측한다고 말했습니다.


연구원들에 따르면, Electrum DDoS 봇은 아시아 태평양 지역(APAC), 브라질, 페루에 가장 집중되어 있고, 봇넷은 지속적으로 증가하고 있다고 밝혔습니다.


<이미지 출처: https://blog.malwarebytes.com/cybercrime/2019/04/electrum-ddos-botnet-reaches-152000-infected-hosts/>


Electrum 봇넷에 감염된 피해자의 수는 지속적으로 변화하고 있습니다. 


일부 기기들이 성공적으로 악성코드를 제거하면, 새로운 기기들이 감염되어 DoS 공격에 참여하기 때문인 것으로 보입니다. 


Malwarebyte는 매일 2,000개 이상의 엔드 포인트에서 ElectrumDosMiner 감염을 탐지 및 제거하는 중이라고 말했습니다.


업데이트된 Electrum 버전은 피싱 공격에 취약하지 않습니다.


사용자들은 공식 사이트인 electrum.org에서 최신 버전인 3.3.4를 다운로드하여 업데이트할 것을 권장합니다.


또한 Electrum 가상 화폐 지갑 앱을 사용하는 사용자들은 DDoS 공격을 예방하기 위해 자동 연결 기능을 해제하고 수동으로 서버를 선택하는 것이 좋습니다.


Electrum 최신 버전 업데이트 바로가기


현재 알약에서는 해당 멀웨어에 대해 'Trojan.Chapak.A'로 탐지 중에 있습니다.




출처:

https://thehackernews.com/2019/04/electrum-bitcoin-wallet-botnet.html

https://blog.malwarebytes.com/cybercrime/2019/04/electrum-ddos-botnet-reaches-152000-infected-hosts/

관련글 더보기

댓글 영역