"코인 운영사입니다"… 혹해서 클릭해다 간 개인정보 '탈탈'

  发布시간:2024-03-28 22:08:40   작성자:玩站小弟   我要评论
지니언스, 가상자산 거래소 이용자 대상 표적 공격 주의"신뢰할 수 없는 파일, 함부로 클릭하지 말아야"[홍콩=AP/뉴시스] 2022년 2월17일 홍콩의 한 거리에 설치된 비트코인 。

지니언스, 가상자산 거래소 이용자 대상 표적 공격 주의
"신뢰할 수 없는 파일, 함부로 클릭하지 말아야"
[홍콩=AP/뉴시스] 2022년 2월17일 홍콩의 한 거리에 설치된 비트코인 광고.


[서울=뉴시스]송혜리 기자 = #"ㅇㅇㅇ 운영팀 입니다, 시가 등에 영향력을 행사할 수 있는 주요 관계인들의 정보를 다시 파악하려고 합니다, 투자자 보호 및 디지털자산 시장의 건전화를 위해 위 절차를 마련하게 되었음을 양지하여 주시기를 바라며, 원활한 이해를 위하여서는 디지털자산 프로젝트의 적극적인 협력과 도움이 필요합니다."

비트코인 가격이 한 때 1억원을 돌파했다가 다시 하락하는 등 가상자산의 급격한 시세변동과 맞물려 가상자산 투자자들을 겨냥한 해킹 공격이 발생하고 있어 각별한 주의가 요구된다.

워드 문서에 LNK 파일 숨겨놔…모르고 클릭했다가 개인정보 '탈탈'

지니언스 시큐리티 센터(이하 GSC)는 이달 7일부터 특정 가상자산 거래소의 안내 문서로 위장한 '첨부.zip' 악성파일이 국내에 배포된 정황을 포착해 분석을 진행했다. 초기 공격 수법은 계속 조사가 진행 중이나, GSC 측은 메일을 통한 스피어 피싱 공격 가능성을 높게 보고 있다.

우선, 공격에 쓰인 '첨부.zip'파일의 압축을 해제한 후 확인을 하면 '첨부2_*** 메일 내용(참고).pdf'와 '첨부1_성명_개인정보수집이용동의서.docx.lnk' 두 개의 파일이 존재한다.

압축파일 해제 후 폴더 화면(사진=지니언스 제공) *재판매 및 DB 금지


'첨부2_*** 메일 내용(참고).pdf'에는 해당 파일들을 보낸 이유가 담겨져 있다. '가상자산 이용자보호법 제정 및 관련 시행 절차 등 디지털자산 시장 규제에 맞춰 주요 관계인의 정보를 파악해야 한다'고 설명하며 동봉한 '정보수집 이용동의서' 작성해 제출해달라고 요구한다.

그러나 해당 파일은 실제 공격을 위해 포함된 악성파일인 '첨부1_성명_개인정보수집이용동의서.docx.lnk'을 클릭하도록 유인하는 미끼(Decoy)다.

'개인정보수집이용동의서'파일은 클릭했을 때 외관상으로는 일반적인 docx파일과 다를 바 없지만 악성행위를 실행하는 바로가기(lnk)를 포함하고 있다. 게다가 lnk은 이중 확장자로 외관상 드러나지 않는다. 따라서 수신자는 아이콘과 확장자만 보고 docx 문서로 쉽게 착각할 수 있다.

lnk 파일이 실행되면, 공격자는 사용자 PC에 악성행위를 위한 공격 통로 파일을 불러온다. 이를 통해 사용자 PC 정보, 개인정보 등을 수집하고 탈취를 시도한다. 또는 해당 PC를 관리하면서 또 다른 공격에 활용한다.

정상 PDF 문서 실행 화면(사진=지니언스 제공) *재판매 및 DB 금지


워드파일이라고 무심코 열어선 안돼…화살표 유무 꼭 확인해야


GSC에 따르면 이번 공격은 코니(Konni) APT 캠페인의 연장선에 속한다. 코니 그룹은 비트코인 거래 관계자·대북북야 종사자 등 다양한 위협활동을 전개 중이다. 주로 LNK, VBS, BAT 유형의 악성코드를 개발해 공격에 사용하는 특징을 보이고 있다.

문종현 GSC 센터장은 "이러한 전략이 전혀 새로운 방식은 아니지만, 2024년 상반기 기준 가장 성행하는 공격방식 중 하나"라며 "따라서 아이콘과 확장자를 꼼꼼히 살펴보는 것과 함께 아이콘 좌측 하단에 '화살표' 포함 여부를 구별해야 한다"고 강조했다.

이어 "보통 이러한 공격은 이메일 첨부파일이나 SNS 메신저 등으로 전달되며, 압축파일 내부에 LNK 파일을 포함한다"면서 "그러므로 압축해제 후 아이콘에 '화살표'가 포함돼 있다면 십중팔구는 해킹 시도로 봐도 무방하다"고 말했다.

관련 기사

最新评论