- 악성코드 개요와 특징
- svcstealer 기능 및 작동 방식
- 다단계 모듈 구조 설명
- 정보 수집 방법
- 암호화폐 지갑 정보
- 메신저 및 소프트웨어 정보
- 클립보드 하이재킹 기능
- 클립보드 감시 메커니즘
- 주소 변조 과정
- 추가 페이로드 다운로드 과정
- 페이로드의 역할과 기능
- C2 서버와의 통신
- 격차된 공격 메커니즘
- 파일 기반 하이재킹
- 조직적 자금 세탁 흐름
- 최종 결론 및 대응 방안
- 위협 분석 종합
- 대응 전략 제안
- 함께보면 좋은글!
- 암호화폐 사용자를 겨냥한 svcstealer의 위험성은?
- 암호화폐 위험 Svcstealer 악성코드의 정체는
- 악성코드 svcstealer 분석과 위험성은
- 암호화폐 강탈 악성코드의 실체는?
- 저탄고지 식단의 효과와 성공 비결은?
악성코드 개요와 특징
악성코드는 현대 디지털 환경에서 중요한 위협 요소로 자리 잡았습니다. 이번 섹션에서는 신종 인포스틸러 악성코드인 svcstealer에 대해 구체적으로 살펴보겠습니다. 이 악성코드는 암호화폐 사용자를 대상으로 하며, 그 기능과 작동 방식이 매우 정교합니다.
svcstealer 기능 및 작동 방식
svcstealer는 C++로 작성된 정보 탈취형 악성코드로, 감염된 시스템에서 다양한 민감 데이터를 수집합니다. 주요 기능은 다음과 같습니다:
- 정보 수집: 암호화폐 지갑, 메신저 애플리케이션 설정, 시스템 정보 등 광범위한 데이터 수집
- 데이터 전송: 수집된 데이터는 공격자의 C2 서버로 전송되며, HTTP POST 요청을 통해 수행되는 이 과정은 정상적인 웹 트래픽으로 위장되어 있습니다.
- 모듈화된 페이로드 다운로드: 정보 탈취가 완료된 후, 공격자의 서버에서 “qq.exe”와 “pxcc.exe”와 같은 추가 페이로드를 다운로드하여 실행합니다.
“이 악성코드는 실제 암호화폐 자산 탈취로 직결되는 고위험 공격입니다.”
다단계 모듈 구조 설명
svcstealer의 강력한 특징 중 하나는 다단계 모듈 구조입니다. 이 구조는 다음과 같은 단계로 이루어져 있습니다:
- 주 악성코드 실행 (ssks.exe): 감염된 시스템에서 다양한 민감 정보를 수집하고, 압축 후 C2 서버로 전송합니다.
- 추가 페이로드 다운로드 및 실행:
- qq.exe: 클립보드 감시를 통해 복사된 암호화폐 지갑 주소를 자동으로 공격자의 지갑 주소로 교체하는 기능을 수행합니다.
- pxcc.exe: 문서 내에 존재하는 악성 코드가 발견된 암호화폐 주소를 탐색하고 교체하는 기능을 갖추고 있습니다.
| 파일명 | 기능 | 생성 시각 |
|---|---|---|
| ssks.exe | 메인 인포스틸러 | 2025-04-03 01:59:52 |
| qq.exe | 클립보드 암호화폐 주소 하이재커 | 2025-04-01 23:34:22 |
| pxcc.exe | 파일 내 암호화폐 주소 하이재킹 | 2025-04-01 23:31:30 |
악성코드는 이러한 구조를 통해 지속성 확보와 금전 탈취의 가능성을 높이고 있습니다. 공격자는 상이한 C2 서버를 통해 안정적인 연결을 유지하며, 사용자의 데이터를 심각하게 위협합니다.
정보 수집 방법
정보 수집은 사이버 공격에서 매우 중요한 단계로, 공격자는 다양한 방법으로 피해자의 민감한 데이터를 확보합니다. 이 섹션에서는 암호화폐 지갑 정보와 메신저 및 소프트웨어 정보 수집에 대해 구체적으로 다루어보겠습니다.
암호화폐 지갑 정보
악성코드인 svcstealer는 감염된 시스템에서 사용자의 암호화폐 지갑 정보를 대상으로 삼습니다. 이 악성코드는 사용자가 사용하는 다양한 암호화폐 지갑 애플리케이션과 브라우저 확장 프로그램에서 민감한 데이터를 수집합니다. 수집되는 주요 정보는 다음과 같습니다:
| 지갑 종류 | 수집 대상 애플리케이션 및 확장 프로그램 |
|---|---|
| 암호화폐 지갑 애플리케이션 | exodus, electrum, bitcoin, atomic |
| Chrome 확장 프로그램 | metamask, binance, tron, phantom, ton, okx, trust, frwt, coinwallet, cirus, internetmoney, keeper, lastpass, multipassword |
| Brave 확장 프로그램 | metamask, binance, tron, phantom, ton, okx, trust, frwt, coinwallet, cirus, internetmoney |
| Edge 확장 프로그램 | metamask, binance, ronin |
“악성코드는 사용자 문서 파일을 탐색하고, 비밀번호 및 암호화폐 지갑 주소를 탈취합니다.”
이 숫자들은 사용자의 지갑 정보를 직접 공격자의 서버로 전송하게 됩니다. 특히, svcstealer는 수집된 데이터를 압축하여 공격자의 C2 서버로 보내며, 이는 모든 과정을 은밀하게 수행할 수 있도록 설계되었습니다.
메신저 및 소프트웨어 정보
또한, svcstealer는 메신저 애플리케이션에서의 데이터 수집도 포함하고 있습니다. 수집하는 메신저 애플리케이션은 다음과 같습니다:
| 메신저 종류 | 수집 대상 애플리케이션 |
|---|---|
| 메신저 애플리케이션 | telegram, 64gram, unigram, discord, tox |
이 악성코드는 사용자 문서 파일과 설치된 소프트웨어 목록도 수집합니다. 시스템을 감염시키면, 운영 체제에서 수집 가능한 모든 정보를 탐색하여 해당 정보를 공격자의 서버로 송신합니다. 이 정보에는 악성코드의 정확한 실행을 위해 사용자가 생성한 파일들과 시스템 구성에 대한 정보가 포함됩니다.
이와 같은 정보들은 클립보드 감시 및 파일 기반 하이재킹을 통해 피해자의 자산을 더욱 노출시키는 역할을 합니다.
이 모든 정보 수집 과정은 사용자가 인지하지 못한 상태에서 진행되므로, 개인의 자산이 채워될 수 있는 심각한 위험을 내포하고 있습니다.
결론적으로, svcstealer와 같은 악성코드는 단순한 정보 수집을 넘어, 전반적인 시스템과 데이터의 안전성을 위협하고 있습니다. 사용자는 최신 보안 소프트웨어와 주의 깊은 행동을 통해 이러한 위협에 대비해야 합니다.
클립보드 하이재킹 기능
최근 사이버 공격의 양상이 변화함에 따라 클립보드 하이재킹 기능이 주목받고 있습니다. 이 기술은 감염된 시스템에서 사용자의 암호화폐 거래 방식에 심각한 영향을 미칠 수 있습니다. 본 섹션에서는 클립보드 감시 메커니즘과 주소 변조 과정을 상세히 설명하겠습니다.
클립보드 감시 메커니즘
클립보드 감시는 악성코드가 클립보드의 내용을 계속해서 모니터링하는 기법입니다. 이를 통해 사용자가 특정 정보를 복사할 때 해당 데이터를 몰래 가로채고 변조할 수 있습니다.
“악성코드는 사용자가 암호화폐 주소를 복사하는 순간을 감지하고 이를 공격자의 주소로 교체하는 기능을 수행합니다.”
이 과정은 백그라운드에서 주기적으로 실행되는 스레드를 통해 이루어지며, 클립보드의 내용이 변할 때마다 해당 내용을 확인하고, 정규 표현식을 통해 암호화폐 주소를 탐지하게 됩니다. 다음은 감시 과정의 주요 단계입니다:
- 정규 표현식 적용: 클립보드의 복사된 문자열이 암호화폐 지갑 주소 포맷에 맞는지 검사합니다.
- 주소 치환: 탐지된 주소는 미리 설정된 공격자의 지갑 주소로 자동 변경됩니다. 이 과정은 사용자가 아무런 의심 없이 진행되는 것을 목표로 합니다.
- 지속적인 모니터링: 메인 프로세스가 종료되지 않는 이상 감시 기능은 계속 진행되어 사용자가 안전하게 거래를 진행하기 어렵게 만듭니다.
이러한 메커니즘은 단순히 정보 탈취에 그치지 않고, 사용자의 자산에 즉각적이고 심각한 피해를 야기할 수 있습니다.
주소 변조 과정
악성코드에 의해 실행되는 주소 변조 과정은 다음과 같이 정교하게 설계되어 있습니다:
| 단계 | 설명 |
|---|---|
| 1. 주소 탐지 | 클립보드에서 복사된 내용을 분석하여 암호화폐 주소를 찾습니다. |
| 2. 주소 치환 | 탐지된 주소를 공격자의 지갑 주소로 바꿉니다. |
| 3. 사용자 인지 회피 | 사용자는 여전히 정상적인 거래를 진행하는 것처럼 보이게 됩니다. 이 과정으로 불법적인 자산 탈취가 이루어질 수 있습니다. |
이러한 변조는 클립보드를 감시하는 스레드가 항상 활성화되어 있어 지속적으로 이루어지며, 사용자가 의식하지 못하는 사이에 자산을 공격자에게 송금하도록 유도합니다.
결론적으로, 클립보드 하이재킹 기능은 사용자의 의식을 벗어난 곳에서 이루어지며, 기존의 보안 시스템을 회피할 수 있는 정교한 메커니즘으로 설계되어 있습니다. 이러한 공격에 대비하기 위해서는 만연한 회피 기법과 지속적인 감시 시스템을 구축하는 것이 필수적입니다.
추가 페이로드 다운로드 과정
페이로드의 역할과 기능
악성코드 ‘svcstealer’는 단순한 정보 탈취를 넘어, 추가 페이로드 다운로드 기능을 통해 그 기능성을 확장합니다. 감염된 시스템에서 다양한 민감 정보를 수집한 후, 공격자는 중앙 제어 서버인 C2(Central Control) 서버로부터 두 개의 추가 실행 파일인 qq.exe와 pxcc.exe를 다운로드하여 실행합니다. 이러한 다단계 구조를 통해, 악성코드는 감염된 시스템에서 지속성을 확보하고, 클립보드와 파일 내에 저장된 암호화폐 지갑 주소를 공격자의 주소로 자동으로 변경하는 공격을 수행하게 됩니다.
“각 페이로드는 특수한 역할을 가지고 있으며, 서로 협력하여 공격 효과를 극대화시킵니다.”
아래는 각각의 페이로드가 수행하는 주요 기능입니다.
| 실행 파일 | 기능 설명 |
|---|---|
| qq.exe | 클립보드 내 암호화폐 주소 하이재킹 |
| pxcc.exe | 사용자 문서 내 암호화폐 주소 정적 하이재킹 |
이러한 구조는 공격자가 피해자의 자산을 탈취하는 데 매우 효과적인 것으로 평가됩니다. 특히 pxcc.exe는 시스템 전체를 대상으로 하여 공격 범위를 확장할 수 있습니다.
C2 서버와의 통신
악성코드 ‘svcstealer’는 C2 서버와의 통신을 통해 명령을 전달받고, 추가적인 페이로드를 다운로드합니다. 이 과정은 특정 HTTP POST 요청 형식을 통해 이루어지며, 공격자의 C2 서버(185.81.68.156)로 네트워크 트래픽을 위장하는 방법을 사용합니다. 악성코드는 프록시 설정을 무시하고 직접 서버에 접속하며, 네트워크 탐지를 회피하기 위해 multipart/form-data 형식의 요청을 구성합니다.
악성코드는 다음과 같은 구조로 요청을 생성합니다:
- C2 서버에 연결하여 특정한 파라미터를 포함한 요청을 보냅니다.
- 서버로부터 받는 응답을 분석하여 다운로드할 페이로드의 URL을 확인합니다.
- 확인된 URL에서 악성 실행 파일을 다운로드 후, 지정된 경로에 저장 및 실행합니다.
이러한 C2 통신 구조는 모듈화된 악성 행위의 핵심으로 작용하며, 공격자는 피할 수 있는 많은 탐지 방법을 사용하여 이런 방식으로 악성코드를 지속적으로 업데이트하고 유지합니다. 이는 전반적인 공격의 지속성 및 효율성을 높이는 데 큰 역할을 합니다.
격차된 공격 메커니즘
사이버 공격자는 최신 기술을 활용하여 다양한 방식으로 피해자를 공략합니다. 이번 섹션에서는 악성코드인 svcstealer가 사용하는 두 가지 주요 공격 메커니즘인 파일 기반 하이재킹과 조직적 자금 세탁 흐름에 대해 다루겠습니다.
파일 기반 하이재킹
svcstealer는 암호화폐와 관련된 사용자 정보를 철저히 감시하고 조작하는 악성코드입니다. 그 가운데 파일 기반 하이재킹은 시스템 내부의 문서 파일에 저장된 암호화폐 주소를 자동으로 변경하는 기능을 포함하고 있습니다.
이 악성코드는 다음의 절차를 통해 파일 기반 하이재킹을 수행합니다:
- 디렉토리 탐색: 사용자 개인 디렉토리를 순회하면서 지정된 경로에서 텍스트 파일(.txt, .htm, .php 확장자)을 검색합니다.
- 주소 탐지 및 변조: 내부 파일 내용에서 정해진 정규 표현식을 사용하여 암호화폐 주소를 찾아내고 공격자가 지정한 주소로 자동으로 교체합니다.
- 변경된 내용 저장: 변경된 파일 내용은 사용자에게 전혀 눈에 띄지 않게, 원래의 파일 무결성을 최대한 유지하면서 저속합니다.
이를 통해 피해자는 자신도 모르는 사이에 자산을 공격자의 지갑으로 송금하게 됩니다. 이러한 행위는 피해자의 자산을 직접적으로 탈취하는 고차원적인 공격 방식입니다
.
조직적 자금 세탁 흐름
svcstealer의 공격 이후, 수집된 데이터와 자산은 공격자의 지갑으로 송금됩니다. 이 과정에서 확인된 조직적 자금 세탁 흐름은 다음과 같습니다:
- 거래 추적: 공격자의 암호화폐 지갑으로 대량의 자금이 이동하고, 이는 서로 다른 지갑으로 분산 송금됩니다.
- 재투자 및 회수: 해당 자금의 일부는 거래소를 통해 다시 회수되는 형태로 추적되고 있습니다. 이 과정은 명백히 조직적인 자금 세탁을 위해 설계된 전략으로 보입니다.
- 다양한 암호화폐 활용: 주로 라이트코인(LTC) 거래가 발견되었으나, 비트코인이나 이더리움과 같은 다른 자산에 대한 흔적도 남아있어 가상 자산 은닉 및 세탁 활동이 의심됩니다.
“이런 조직적 자산 은닉은 자금 세탁과 같은 불법 경제활동의 기반이 된다.”
이러한 자금 흐름 분석 결과, svcstealer는 단순한 정보 탈취를 넘어서 더욱 정교한 범죄 네트워크와 연결되어 있을 가능성이 높음을 강조합니다. 악성코드의 존재가 확인되는 만큼, 보안 인프라의 강화를 통해 유사한 위협에 대응해야 합니다.
| 그룹 | 항목 | 내용 |
|---|---|---|
| 파일 기반 하이재킹 | 탐지 경로 | 파일 내 암호화폐 주소 탐지 및 치환 |
| 조직적 자금 세탁 | 자금 흐름 | 대량 거래 및 분산 송금 |
이를 고려할 때, 체계적인 대응 체제 구축이 무엇보다 중요합니다.
최종 결론 및 대응 방안
악성코드 분석을 통해 나타난 위협과 그에 대한 대응 전략을 종합적으로 제시합니다. svcstealer와 diamotrix clipper의 결합에 따른 위협에 대해 인지하고, 효과적인 대응 방안을 모색해야 합니다.
위협 분석 종합
신종 인포스틸러 악성코드인 svcstealer는 암호화폐 사용자를 주요 표적으로 삼고 있으며, 감염된 시스템에서 다양한 민감 정보를 수집하여 공격자에게 전송하는 능력을 가지고 있습니다. 이 악성코드는 사용자 데이터를 탈취한 후, 클립보드 및 파일 내의 암호화폐 지갑 주소를 공격자의 주소로 교체하는 클리퍼 기능을 포함합니다. 이러한 구조로 인해, 피해자는 실제로 금전적인 손실을 겪을 수 있습니다.
“svcstealer는 기존 클리퍼 계열 악성코드와 동일한 제작자 또는 관련 공격자 그룹에 의해 개발된 것으로 추정됩니다.”
악성코드의 동작 흐름
svcstealer의 전반적인 동작 구조는 다음과 같습니다.
| 단계 | 동작 |
|---|---|
| 1 | 감염 및 민감 데이터 수집 |
| 2 | 수집된 데이터 압축 및 서버 전송 |
| 3 | 클리퍼 페이로드 다운로드 및 실행 |
| 4 | 암호화폐 주소 변조 |
| 5 | 흔적 삭제 및 재실행 |
이런 일련의 과정은 악성코드가 단순한 정보 탈취를 넘어 지속적인 공격을 수행할 수 있게 합니다. 특히, 클립보드 감시 및 파일 내 주소 치환 기능은 금전적 손실을 유발하는 중대한 위협으로 해석됩니다.
대응 전략 제안
svcstealer와 같은 고급 악성코드 위협에 대응하기 위해서는 다음과 같은 전략을 제안합니다:
회원 사용자 교육 강화: 사용자에게 악성코드의 동작 방식 및 예방 수칙을 알려야 합니다. 특히, 암호화폐 거래 시 클립보드 주소 확인의 중요성을 강조할 필요가 있습니다.
안티바이러스 및 보안 솔루션 업데이트: 최신 보안 솔루션을 통해 악성코드 탐지 및 차단 능력을 강화해야 합니다. 주기적인 업데이트는 필수적입니다.
네트워크 모니터링 강화: 비정상적인 트래픽 패턴을 식별하기 위해 네트워크 모니터링 도구를 활용해야 합니다. svcstealer가 이용한 특정 IP 대역을 차단하는 것도 유효합니다.
침해 지표(IoC) 공유 및 협력: 악성코드에 대한 IoC 정보를 공동으로 공유하고, 관련 기관 및 전문가와 협력하여 위협을 미리 파악하고 분석할 수 있어야 합니다.
정기적인 보안 점검: 시스템의 보안 점검을 정기적으로 수행하여 악성코드 감염의 위험을 줄여야 합니다. 백업과 복구 시스템도 구축하여 피해를 최소화할 수 있도록 해야 합니다.
이러한 대응 전략을 통해 svcstealer와 같은 악성코드 위협을 효과적으로 관리하고 줄일 수 있을 것입니다. 지속적인 관심과 주의가 필요합니다.
