다운로드닷컴...방문자 규모 163번째...1년 동안 멀웨어 호스팅 돼
범인 약 8만 달러 벌어들인 듯...다운로드 인스톨러 삭제해야 안전
사용자의 계정번호를 공격자의 그것과 바꿔치기해 비트코인을 가로채게 해주는 멀웨어가 download.com에 1년 가까이 호스팅되어 있는 것이 뒤늦게 발견됐다.
[이미지 = iclickart]
보안 업체 이셋(ESET)의 전문가들은 최근 download.cnet.com에 호스팅되어 있는 애플리케이션들 중 트로이목마가 심겨져 있는 것을 세 개 발견했다. 해당 사이트는 전 세계에서 163번째로 방문자가 많은 곳이다. 이셋 측은 공격자가 현재까지 약 8만 달러에 해당하는 돈을 벌어들였을 것이라고 예측하고 있다.
해당 멀웨어는 2016년 5월 2일에 호스팅된 것으로 보인다. 어떤 시점에 CNET에서부터 다운로드가 된 것으로 보인다. 그리고 그 후 총 4500번 이상 다운로드 됐다고 이셋은 분석하고 있다. 이 멀웨어는 현재는 삭제된 상태이지만, 이셋은 정확한 삭제 날짜는 알 수 없다고 말한다. 다만 “2017년 3월 경인 것으로 의심하고 있다”고 한다.
이 비트코인 도난 멀웨어에 대한 경고는 한 레딧(Reddit) 사용자가 최초로 유포한 것으로 알려졌다. 평소처럼 모네로 주소를 복사한 후 붙여넣기 하려는데, 갑자기 ‘알 수 없는 주소’라며 전송이 되지 않는다는 오류 메시지가 떴다며, 뭔가 이상하다는 글을 남긴 것이다. 이를 수상히 여긴 이셋 전문가들이 조사를 진행하다가 download.com까지 도달했다.
멀웨어의 최초 출처는 트로이목마로 변질된 Win32 Disk Imager라는 애플리케이션으로, download.com에 호스팅 되어 있었다. 이 멀웨어는 사용자들이 복사함으로써 클립보드에 저장시킨 암호화폐 지갑 주소를 공격자의 주소로 바꿔치기 하는 기능을 가지고 있었으며, 공격자의 지갑 주소는 멀웨어 내에 하드코드 되어 있었다.
이셋의 전문가들은 구글에서 비트코인 주소를 검색했고, 여러 명의 피해자들을 추적하는 데에 성공했다. “SNS나 블로그에 비트코인이나 모네로와 관련된 포스팅을 하면서 자기 지갑 주소를 가져다 붙이는 사람들이 있었는데, 그들 중 이번에 발견된 멀웨어 속 공격자의 지갑 주소를 붙여넣기 한 사람들이 꽤 있었습니다. 공격을 당한 줄 모르는 사람들도 꽤나 되는 것 같습니다.”
비트코인이나 모네로 거래를 하면서 download.com을 2016년 5월 이후에 접속했던 사람들이라면 제일 먼저 다운로드 인스톨러를 삭제하라고 이셋은 권고한다. 또한 악성 폴더들과 ScdBcd 레지스트리 값을 삭제하는 것도 잊지 말아야 한다고 한다.
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
[국제부 문가용 기자(globoan@boannews.com)]
