지난해 비너스락커(VenusLocker) 랜섬웨어를 이용해 피해자들에게서 금전적 이익을 갈취한 단체가 그들의 관심을 암호화폐 채굴로 관심을 옮겨간 것으로 보인다.

포티넷의 포티가드랩은 12월 20일 블로그 게시물을 통해 ‘광부XMRig v2.4.2’를 사용해 공격자가 한국의 감염된 컴퓨팅 성능을 이용해 적극적으로 모네로(Monero) 코인을 채굴하고 있다고 발표했다.

희생자들은 피싱 메일을 통해 전달된 EGG 압축형식의 악성 첨부파일을 열어 감염된다.이 메일은 의류 판매자로부터 온 것으로, 정보가 유출되었고, 수령인의 웹사이트가 동의없이 이미지를 남용한 것에 책임이 있다고 경고하는 메일로 위장되어 있다.

“자원 낭비 작업을 숨기기 위해 합법적인 윈도우 구성요소인 wuapp.exe에서 원격 스레드로 실행되며 의심되는 일이 발생하지 않도록 사전에 실행된다.”라고 블로그 작성자인 위협 연구원 Joie Salvio는 설명한다. 채굴모듈이 발견되어 이후 종료되더라도 부모 프로세스는 즉시 다시 열어 지속성을 유지한다.

Salvio는 모네로 채굴 알고리즘이 일반 컴퓨터 용으로 설계되었기 때문에 가치가 급증한 비트코인 대신 모네로를 대상으로 하고, 잠재적 피해집단이 훨씬 크다고 설명한다. 또한 모네로 트랜잭션은 스텔스 주소를 사용하기 때문에 비트코인보다 훨씬 익명이라고 덧붙였다.

★정보보안 대표 미디어 데일리시큐!★