'암호화폐를 채굴할까, 랜섬웨어를 감염시킬까.'
피해자 PC 상태를 파악해 암호화폐를 채굴할지, 랜섬웨어를 감염시킬지 결정하는 악성코드가 발견됐다.
카스퍼스키랩은 암호화폐 채굴기와 랜섬웨어 중 수익성을 따져 시스템을 감염시키는 흥미로운 악성코드를 발견했다. 랜섬웨어와 암호화폐 채굴 공격은 올해 가장 많이 발생하는 위협이다. 불특정 다수를 표적으로 돈을 버는 목적이 강하다. 모두 암호화폐와 관련된다.
랜섬웨어는 피해자가 귀중한 파일을 갖고 있지 않으면 돈을 받아낼 수 없다. 랜섬웨어에 감염된 개인은 암호화폐를 지불하지 않고 PC를 포맷하는 사례가 많다. 수익성이 떨어진 공격자는 피해자 PC를 활용해 암호화폐를 채굴하는 방향으로 선회했다. 이제 공격자는 악성코드를 보내 어느 쪽이 수익성이 높은지를 따진 후 채굴이나 랜섬 기능을 결정한다.
카스퍼스키랩이 발견한 'Rakhni' 랜섬웨어 패밀리 변종은 델파이 프로그래밍 언어로 제작됐다. 공격자는 마이크로소프트 워드 파일을 첨부한 스피어피싱 이메일로 악성코드를 감염시킨다. 피해자가 문서 파일을 열면 저장하고 편집을 활성화하라고 안내한다. 이 문서는 PDF 아이콘을 포함한다. 이를 클릭하면 피해자 PC에서 악성코드를 실행하고 가짜 에러 메시지 창을 표시한다. 피해자 문서를 여는 데 필요한 시스템 파일이 누락됐다고 생각하게 만든다.
악성코드는 안티 가상머신(VM)과 안티 샌드박스 검사를 수행해 발각되지 않고 시스템을 감염시킬 수 있을지 확인한다. 조건을 만족하면 최종 기능을 랜섬웨어로 할지 채굴기로 할지 결정하는 작업을 진행한다.
피해 PC AppData 섹션에 '비트코인(Bitcoin)' 폴더가 있으면 랜섬웨어를 설치한다. 비트코인 폴더를 암호화했을 경우 몸값을 지불할 가능성이 높다. 공격자는 RSA-1024 암호화 알고리즘을 이용해 파일을 암호화한다.
비트코인 폴더가 없고 기기에 두 개 이상 논리 프로세서가 있으면 암호화폐 채굴기를 감염시킨다. PC가 채굴 악성코드에 감염되면 마이너게이트라는 유틸리티를 이용해 '모네로'와 '모네로 오리지널' '대시' 암호화폐를 채굴한다.
비트코인 폴더도 없고 논리 프로세서도 하나인 PC에는 웜으로 작동한다. 해당 악성코드는 공유 리소스를 활용해 내부 네트워크에 있는 모든 PC에 자신을 복제한다. 악성코드는 실행중인 프로세스 목록과 스크린 샷 첨부 파일을 빼돌리는 스파이웨어 기능도 있다. 공격자는 악성코드를 종료하기 전에 임시 파일을 삭제하는 기능도 넣었다.
해당 악성코드는 어떤 안티바이러스가 실행되는지 검사한다. 백신 프로세스가 검색되지 않으면 윈도 시스템 내부에 있는 '윈도 디펜더'를 사용하지 못하게 설정한다. 피해자는 주로 러시아와 카자흐스탄, 우크라이나, 독일, 인도 등이다.
이런 공격에 당하지 않으려면 모르는 사용자에게 온 이메일이나 수상한 파일은 클릭하지 않는다. 백신과 상용 소프트웨어를 최신 상태로 유지한다.
김인순 보안 전문기자 insoon@etnews.com
