상세 컨텐츠

본문 제목

HackBoss 클립보드 하이재커 통해 56만 달러 이상 수익 창출해

국내외 보안동향

by 알약4 2021. 4. 20. 14:00

본문

 

 

Crooks made more than $560K with a simple clipboard hijacker

 

주요 암호화폐의 가치가 계속해서 증가함에 따라 사이버 범죄자 및 악성코드 제작자들이 사용자의 지갑을 탈취 위한 가상화폐 채굴기와 악성코드 개발에 집중하고 있는 것으로 나타났습니다.

 

Avast는 단순한 악성코드인 HackBoss를 분석했으며, 그 결과 작업자들이 201811월 이후로 약 56만 달러 상당의 가상화폐를 벌어들였다고 밝혔습니다.

 

HackBoss라는 이름의 텔레그램 채널에 게시된 이 툴은 20181126일 생성되었으며, 채널의 구독자는 약 2,500명이었습니다.

 

전문가들에 따르면 이 채널을 운영하는 범죄자들은 이 해킹 애플리케이션을 홍보하기 위해 월 평균 게시물 7개를 작성했으며, 각 게시물의 평균 조회수는 약 1,000회입니다.

 

운영자는 감염된 해킹 툴을 텔레그램 채널에 배포했으며, 초보 해커들은 이를 다운로드 및 설치해 그들의 윈도우 시스템을 감염시켰습니다.

 

Avast는 보고서를 통해 아래와 같이 밝혔습니다.

 

해당 채널에 게시되는 소프트웨어는 은행 및 소셜 사이트 해킹 툴, 가상화폐 지갑 및 개인 키 크래커, 기프트카드 코드 생성기 등 다양합니다. 그러나, 애플리케이션은 해킹/크래킹 툴로 홍보되었지만 이는 사실이 아닙니다. 실제로는 해킹/크래킹 애플리케이션으로 가상화폐 탈취 악성코드가 숨겨져있습니다. 이 채널에 게시된 그 어떤 프로그램도 홍보된 기능을 포함하고 있지 않습니다. 모든 프로그램이 가짜입니다.”

 

변조된 해킹 툴은 피해자의 시스템에 클립보드 하이재커를 설치합니다. 이는 사용자가 가상화폐 지갑 주소를 복사할 경우 공격자의 지갑 주소로 변경해 합법적인 거래 하이재킹을 시도합니다.

 

HackBoss 악성코드의 피해자 대부분은 나이지리아, 미국, 러시아, 인도에 위치하고 있으며, 이는 해커 지망생 수가 가장 많은 대규모 해킹 커뮤니티를 보유한 국가입니다.

 

이 악성 페이로드의 기능은 매우 단순합니다. 이는 정기적으로 클립보드의 내용을 확인해 가상화폐 지갑 주소가 있는지 확인한 후, 지갑 주소를 발견하면 공격자의 지갑 주소로 바꿔치기 합니다. 이 악성 페이로드는 애플리케이션의 UI가 닫힌 상태에서도 피해자의 컴퓨터에서 지속적으로 실행됩니다. 작업 관리자 등을 통해 악성 프로세스가 종료될 경우 시스템 시작 또는 예약 작업을 통해 몇 분 후에 다시 트리거됩니다.”

 

해당 악성코드 분석 결과, 공격자가 관리하는 가상화폐 지갑 주소(비트코인, 이더리움, 도지코인, 라이트코인, 모네로 등) 100개 이상이 발견되었습니다.

 

또한 공격자들은 감염된 애플리케이션을 홍보하는 게시물을 올리기 위해 블로그(cranhan.blogspot[.]com)를 관리하고, 홍보 영상을 공유하기 위한 유튜브 채널 또한 운영했습니다.

 

전문가들은 이 그룹이 공개 포럼에도 다양한 광고를 게시했다고 전했습니다.

 

HackBossIoC여기에서 확인할 수 있습니다.

 

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플을 ’Trojan.MSIL.Stealer.gen’으로 탐지 중입니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/116995/cyber-crime/hackboss-clipboard-hijacker.html

https://decoded.avast.io/romanalinkeova/hackboss-a-cryptocurrency-stealing-malware-distributed-through-telegram/

https://github.com/avast/ioc/tree/master/HackBoss

관련글 더보기

댓글 영역