이 악성코드는 사용자 PC에 있는 비트코인을 포함 라이트코인, 이더리움, 모네로, 스팀 등 총 9종의 가상화폐를 확인한다. 이는 국내에서도 인기있는 지갑 정보와 사용자 정보 탈취를 목적으로 추정된다.
가상 화폐 지갑 정보 외에 사용자의 브라우저를 확인해 시스템 상에 저장된 로그인 아이디·패스워드 정보와 쿠키 정보도 탈취한다. 이렇게 유출된 정보는 추후 또 다른 보안 위협에 노출될 가능성이 커 각별한 주의가 필요하다.
또한 사용자들이 바탕화면에 중요한 정보를 문서파일 형태로 저장해 둔다는 점을 악용해 문서들 중 확장자가 ‘doc’, ‘docx’, ‘txt’, ‘log’일 경우도 C&C 서버(104.27.185.76-미국)에 전송을 시도한다. C&C 서버에 전송하는 정보 목록은 다음과 같다.
△브라우저(Chrome, Yandex, Opera, Kometa, Orbitum, Comodo, Amigo, Torch)의 로그인 ID/PW
△시스템 O/S정보, Hardware ID, 사용자 계정
△Filezilla 접속IP, ID, PW
△바탕화면 캡쳐
△바탕화면 문서들 중 확장자 doc, docx, txt, log 파일들
이스트시큐리티 측은 "가상 화폐가 전세계적으로 인기를 끌면서 사이버 범죄자들의 집중 공격타깃이 되고 있다. 실제 국내 비트코인 거래소 출금 알림 이메일로 사칭한 피싱 공격, 윈도우 보안 업데이트 안내로 위장한 메일로 비트코인 지갑 탈취 하는 공격이 발견된 바 있는 만큼 피해를 입지 않도록 주의해야 한다"고 당부했다.
★정보보안 대표 미디어 데일리시큐!★