새로운 악성코드가 클립보드에서 암호화폐를 훔칩니다

수십 년 동안 클립보드는 Windows, Mac 또는 Linux에서 사용되는 컴퓨팅 경험의 일상적인 요소였습니다. 그러나 이제 공격자들은 클립보드에 접근하여 암호화폐를 훔치는 악성코드를 삽입할 수 있는 방법을 찾았습니다.

이는 민감한 정보를 복사하고 붙여넣을 때, 특히 암호화폐에 대해 두 번 생각하게 만들 것입니다. 악성코드의 새로운 용도는 암호화폐 거래의 주소를 공격자의 지갑 주소로 교체하는 것입니다.

범죄

ComboJack 악성코드는 사용자가 거래를 보내는 지갑을 확인하지 않도록 의존하여 여러 통화에서 작동합니다. 이 악성코드를 배포하는 데 사용된 많은 스팸 이메일이 있으며, 이메일의 수가 많다는 것은 공격자들이 그들의 노력에서 성공하고 있다는 것을 보여줍니다.

하지만 비트코인을 사용하지 않는다고 해서 안전하다고 생각하지 마세요. WebMoney 및 Yandex Money와 같은 비암호화폐 디지털 결제 시스템도 표적이 되고 있습니다.

Palo Alto Networks의 연구원들은 미국과 일본의 사용자들을 표적으로 하는 이메일 피싱 캠페인을 지켜보던 중 이 악성코드 캠페인을 발견했습니다.

이 이메일은 피해자의 이름을 사용하지 않지만 여권이 분실되었다고 주장하며, 이메일의 독자에게 그것의 스캔된 버전을 포함하는 문서를 열어 “소유자를 알고 있는지 확인하라”고 지시합니다.

이메일 수신자가 파일을 열면, 문서를 보기 위해 임베디드 파일을 실행하도록 허용하라는 메시지가 표시됩니다. 만약 그들이 따라가서 파일을 실행하도록 허용하면, 임베디드 RTF 파일이 코드를 주입하고 PowerShell 명령을 실행하여 ComboJack을 다운로드하고 실행하게 됩니다.

ComboJack은 이후 내장된 Windows 도구인 attrib.exe를 사용하여 이메일 수신자에게서 자신을 숨기고 높은 수준의 권한을 가진 프로세스를 실행할 수 있게 됩니다.

그 후 클립보드 내용을 매 0.5초마다 확인하는 루프를 시작하여 사용자가 암호화폐에 대한 정보를 복사했는지 확인합니다. 만약 발견하면, 현재 주소를 공격자와 연결된 주소로 교체하여 피해자가 알아차리지 않기를 희망합니다.

이 악용을 넘어서

암호화폐를 훔치려는 조직을 넘어서, 클립보드에서 어떤 것이든 도난당할 가능성이 있다는 것을 의미합니다. 그리고 우리 중 많은 사람들이 여러 가지 용도로 클립보드 기능을 사용합니다.

질문은 클립보드 기능을 사용하여 도난당했을 경우 잠재적으로 해로울 수 있는 것, 예를 들어 비밀번호와 같은 것을 사용하는지 여부입니다. 때때로 비밀번호는 계정을 설정하기 위해 이메일로 전송되며, 너무 길고 숫자와 문자로 가득 차 있어 복사하고 붙여넣는 것이 가장 쉬운 해결책이 될 수 있습니다.

물론, 누군가가 당신의 클립보드를 지속적으로 확인하고 비밀번호 정보를 알고 있어야 하므로, 이는 꽤 과장된 것입니다. 하지만 이제 우리는 이것이 잠재적으로 발생할 수 있다는 것을 알고 있습니다.

중요한 것은 클립보드가 취약점이라는 것이므로, 복사하고 붙여넣을 때 이를 염두에 두는 것이 가장 좋습니다.

가능한 해결책

이 특정 취약점은 작년 9월에 Microsoft에 의해 패치되었으므로, 첫 번째 방어선은 운영 체제를 최신 상태로 유지하는 것입니다. 또한, 첨부 파일을 다운로드하라고 요청하는 알려지지 않은 조직의 이메일에 주의해야 합니다. 이러한 것들은 이미 하고 있는 일들이기를 바랍니다.

이러한 유형의 취약점이 걱정되시나요? 클립보드가 악용될 수 있다고 상상해 본 적이 있나요? 이에 대한 여러분의 생각을 댓글로 알려주세요.