암호화폐 탈취를 노린 공격이 지속적으로 포착되고 있다. 이번에는 ‘[긴급] 코빗 거래소’란 제목의 공지사항.zip 파일 링크가 포함된 악성메일이 뿌려졌다. 거래소보단 보안이 취약한 개인 이용자를 노린 만큼 이용자들의 주의가 필요하다.
지난 18일 오전, 코빗 거래소를 사칭한 악성코드가 포함된 이메일이 유포됐다. 악성메일은 ‘[긴급] 코빗 거래소’란 제목으로 공지사항.zip 파일명으로 링크가 포함돼 있다.
공지사항.zip 파일을 다운로드 받으면 공지사항.png.vbs 파일이 포함돼 있으며, 실행시 특정 사이트에서 이미지 파일을 다운로드 후 출력한다. 해당 이미지는 코빗 거래소의 정상적인 공지내용이다.
이에 대해 하우리는 “추가로 svchow.dat 파일(Base64 인코딩)을 다운로드 하며 svchow.dll 파일로 복호화한 후, 정상 rundll32.exe 파일을 이용해 악성코드를 실행시킨다”며 “실행된 svchow.dll 파일은 지속적으로 사용자의 컴퓨터 화면을 캡처하고 키보드 입력 값을 저장한다”고 분석했다.
최근 암호화폐 탈취를 위한 시도는 계속 발견되고 있다. 암호화폐 거래소보다는 상대적으로 보안에 취약한 일반 사용자들을 노린 공격이 발생하고 있는 만큼 의심스러운 메일이나 링크는 절대 열람하지 않는 것이 바람직하다.