- 신종 악성코드 svcstealer 개요
- svcstealer의 기본 정보
- 악성코드의 기능 및 작동 원리
- 정보 탈취 방식 및 데이터 유출
- 암호화폐 지갑 및 메신저 정보 수집
- 시스템 정보 및 사용자 문서 탈취
- 클립보드 및 파일 하이재킹
- 클립보드 모니터링 기능
- 문서 내 암호화폐 주소 변경
- 추가 페이로드 다운로드 및 실행
- C2 서버와의 통신
- qq.exe와 pxcc.exe의 역할
- 금전 흐름 및 자금 세탁 정황
- 암호화폐 거래 분석
- 조직적인 자금 세탁 패턴
- svcstealer의 위협 수준 및 대응 방안
- 위협 수준 및 피해 사례
- 대응 체계 및 예방 방안
- 함께보면 좋은글!
- 뱃살 빼는 다이어트 음료의 효과는?
- 뱃살 빼는 다이어트 음료의 효과는?
- 혈당 조절에 도움이 되는 식품은?
- 식이섬유로 다이어트 성공 비법은?
- 다이어트 음료로 뱃살 빼는 법은?
신종 악성코드 svcstealer 개요
최근 등장한 svcstealer는 C++로 개발된 인포스틸러 악성코드로, 사용자 시스템의 민감한 정보를 탈취하는 고도화된 공격체계를 갖추고 있습니다. 이 악성코드는 암호화폐 사용자를 특히 겨냥하고 있으며, 고유 식별자를 사용하여 정보를 수집하고 공격자의 서버로 전송합니다.
svcstealer의 기본 정보
svcstealer는 2025년 초 샌즈랩 ctx 플랫폼에서 최초로 탐지되었습니다. 이 악성코드는 파일명 “ssks.exe”로 유포되며, 감염된 시스템에서 다양한 민감한 데이터를 대상으로 작업합니다. 수집 대상은 다음과 같습니다.
- 암호화폐 지갑 정보
- 메신저 애플리케이션 설정
- FTP 클라이언트 데이터
- 시스템 정보 및 이미지를 포함한 스크린샷
- 브라우저에 저장된 정보 (비밀번호, 방문 기록 등)
수집된 데이터는 압축되어 공격자의 C2 서버로 전송되며, 이 과정은 일반적인 웹 트래픽처럼 위장되어 보안 솔루션을 회피할 수 있도록 설계되어 있습니다.
“정보 탈취가 완료된 후 추가 페이로드를 다운로드하여로 인해 사용자 자산이 영향을 받을 수 있습니다.”
이후에는 qq.exe와 pxcc.exe라는 두 개의 페이로드를 다운로드하여, 암호화폐 주소를 공격자의 주소로 변경하는 기능을 수행합니다.
악성코드의 기능 및 작동 원리
svcstealer는 다단계 모듈 구조로 되어 있으며, 각 단계별로 특별한 기능을 수행합니다. 각 기능은 다음과 같이 설명될 수 있습니다.
-
정보 수집: 악성코드는 다양한 민감 정보를 시스템의 여러 위치에서 수집합니다. 이를 통해 공격자는 사용자에 대한 중요한 데이터를 확보할 수 있습니다. 수집 프로세스는 백그라운드에서 실행되며 사용자가 인지할 수 없는 방식으로 진행됩니다.
-
데이터 전송: 수집된 데이터는 고유 식별자 기반으로 압축되어 공격자의 C2 서버로 전송됩니다. 이 과정은 정상적인 HTTP 요청으로 위장하여 보안 솔루션의 탐지를 회피합니다.
-
추가 페이로드 실행: 정보 수집 후, svcstealer는 추가 악성코드를 다운로드하고 실행합니다. 이는 클립보드 감시 및 파일 내 암호화폐 주소 변조와 같은 기능을 수행합니다.
| 파일명 | 기능 | 생성 시각 |
|---|---|---|
| ssks.exe | 메인 인포스틸러 | 2025-04-03 01:59:52 |
| qq.exe | 클립보드 감시 및 주소 변조 | 2025-04-01 23:34:22 |
| pxcc.exe | 문서 내 주소 변조 | 2025-04-01 23:31:30 |
이러한 악성 행위는 사용자의 인식 범위 밖에서 이루어지며, 피해자가 암호화폐 자산을 추적할 수 없도록 만듭니다.
결론적으로, svcstealer는 정보 탈취를 넘어 지속적인 악성코드 활동과 자금 세탁까지 포함하는 확장된 공격 구조를 갖추고 있습니다. 이는 사용자에게 실질적인 재정적 피해를 유발할 위험을 증가시킵니다. 앞으로 이러한 신종 악성코드에 대한 적극적인 대응과 예방 조치가 필요합니다.
정보 탈취 방식 및 데이터 유출
최근 사이버 공격의 경과에서 정보 탈취는 더욱 정교해지고 있으며, 특히 암호화폐를 염두에 둔 공격이 빈번하게 발생하고 있습니다. 이번 섹션에서는 두 가지 주요 정보 탈취 방식, 즉 암호화폐 지갑 및 메신저 정보 수집과 시스템 정보 및 사용자 문서 탈취에 대해 다루어 보겠습니다.
암호화폐 지갑 및 메신저 정보 수집
악성코드 svcstealer는 감염된 시스템에서 사용자의 암호화폐 지갑과 메신저 애플리케이션 데이터 수집을 수행합니다. 이 과정에서 공격자는 사용자의 모든 암호화폐 지갑 정보를 탐색하고, 메신저 애플리케이션에 저장된 사용자 정보도 수집합니다. 악성코드는 특히 사용자의 개인정보와 자산 정보를 직접적으로 획득하는 방향으로 공격합니다.
암호화폐 지갑의 수집 대상에는 다음과 같은 애플리케이션이 포함됩니다:
| 암호화폐 지갑 애플리케이션 | 브라우저 확장 프로그램 |
|---|---|
| Exodus | Metamask |
| Electrum | Binance |
| Bitcoin | Tron |
| Atomic | Phantom |
| OKX |
또한, 메신저 애플리케이션으로는 Telegram, 64gram, Unigram, Discord, Tox 등이 있으며, 이 과정에서 메신저에 저장된 대화 내용과 설정 정보도 탈취됩니다.
“사용자의 정보와 자산이 탈취되는 과정에서, 악성코드는 매우 정교하게 만들어져 있어 사용자의 인식을 피해간다.“
시스템 정보 및 사용자 문서 탈취
이 악성코드는 단순히 암호화폐 지갑 정보에 국한되지 않고, 사용자의 시스템 정보와 문서 파일까지도 위협을 가합니다. 전체 시스템의 사양 정보, 설치된 소프트웨어 목록, 현재 실행 중인 프로세스 정보는 물론이며, 사용자 문서 파일(.txt, .pdf, .sql 등)까지 대상으로 합니다.
악성코드는 다음과 같은 정보들을 수집하여 공격자에게 전송합니다:
- 시스템 정보: 사용자 이름, 컴퓨터 이름, 운영 체제 버전, CPU, RAM 크기 등
- 프로세스 정보: 현재 실행 중인 모든 프로세스의 목록과 각 프로세스 ID(PID)
- 문서 파일: 바탕화면 및 문서 폴더 내 특정 확장자의 파일들
이러한 데이터를 수집하고 이를 압축하여 공격자의 서버로 전송한 뒤, 모든 흔적을 삭제하는 방식으로 사용자의 정보 유출 과정을 은폐합니다. 이를 통해 공격자는 감지되지 않으면서 지속적으로 피해자를 노릴 수 있습니다.
이상으로 정보 탈취 방식과 관련된 내용을 살펴보았습니다. 개인 사용자는 보안 소프트웨어를 강화하고, 의심스러운 링크나 파일을 클릭하지 않도록 주의하는 것이 필요합니다.
클립보드 및 파일 하이재킹
최근 사이버 범죄자들은 다양한 방법으로 사용자 정보를 탈취하고 자산을 훔치는 수법을 발전시켜 왔습니다. 그 중 하나가 바로 클립보드 및 파일 하이재킹입니다. 아래에서는 이 두 가지 방법에 대해 자세히 살펴보겠습니다.
클립보드 모니터링 기능
클립보드는 기본적으로 사용자가 복사한 내용을 임시 저장하는 영역입니다. 하지만, 악성코드가 이를 이용하면 큰 피해를 입을 수 있습니다. 악성코드가 클립보드를 모니터링하면 사용자가 복사한 암호화폐 지갑 주소를 인지하지 못한 채 공격자의 주소로 교환하는 시나리오가 발생합니다.
“이러한 클립보드 하이재킹 기능은 사용자가 정상적으로 거래를 수행하는 과정에서 의도치 않게 자산을 공격자에게 송금하게 만드는 효과적인 방법입니다.”
예를 들어, 사용자가 거래를 위해 암호화폐 주소를 복사할 때, 악성코드는 이를 탐지하고 공격자의 주소로 교체합니다. 이 과정은 사용자 활동에 실질적인 영향을 미치지 않으므로 피해자가 악성 행위를 인지하기 어렵습니다.
문서 내 암호화폐 주소 변경
또한, 악성코드는 사용자 문서 내의 암호화폐 주소까지 직접 변경하는 진일보한 방법을 사용합니다. 이러한 형태의 하이재킹은 더 깊숙이 사용자 데이터를 침해하는 방법으로, 피해자의 파일을 필터링하고 주소를 일괄 교체하는 기능을 수행합니다.
| 파일 탐색 방법 | 교체 대상 주소 | 변조 후 주소 |
|---|---|---|
| 특정 디렉토리 탐색 | 사용자 문서 파일 내 지갑 주소 | 공격자 지갑 주소로 변조 |
이 과정에서 악성코드는 특정 파일(.txt, .html 등)을 탐색하여 다수의 지갑 주소를 찾아 공격자의 주소로 자동으로 치환합니다. 이러한 방법은 사용자가 저장한 정보를 해치는 고도의 공격 방식으로, 사용자 파일의 무결성을 최소한으로 훼손하면서도 의심을 피할 수 있습니다.
결론적으로, 클립보드와 파일 하이재킹은 악성코드가 사용자의 자산을 훔치는 데 있어 매우 효과적인 기술입니다. 사용자들은 이러한 위협에 대비하기 위해 강력한 보안 솔루션을 사용할 필요가 있으며, 의심스러운 활동에 대해 항상 경계해야 합니다.
추가 페이로드 다운로드 및 실행
악성코드인 svcstealer는 공격자에 의해 통제되는 C2 서버와의 통신을 통해 추가 페이로드를 다운로드하고 실행하는 구조를 가지고 있습니다. 본 섹션에서는 C2 서버와의 통신 방식과 두 페이로드인 qq.exe와 pxcc.exe의 역할에 대해 살펴보겠습니다.
C2 서버와의 통신
svcstealer가 실행되면, 사용자의 민감 정보를 수집한 후, 이를 각종 악성 행위로 활용하기 위해 공격자의 C2 서버와 커뮤니케이션을 진행합니다. 아래 표는 C2 서버와의 통신 흐름을 요약한 내용입니다:
| 단계 | 설명 |
|---|---|
| 1 | 악성코드는 C2 서버에 HTTP POST 요청을 보내 수집된 데이터를 전송합니다. |
| 2 | 요청 시 사용되는 데이터 형식은 multipart/form-data로, 정상 트래픽으로 위장합니다. |
| 3 | C2 서버로부터 응답을 수신하고, 응답 내용에 따라 추가 페이로드를 다운로드합니다. |
“svcstealer는 단순한 정보 수집을 넘어, 공격자의 지령에 따라 추가적인 악성 행동을 수행하는 정교한 인포스틸러다.”
qq.exe와 pxcc.exe의 역할
svcstealer가 C2 서버로부터 다운로드하는 두 개의 페이로드인 qq.exe와 pxcc.exe는 각각 암호화폐 지갑 주소를 탈취하고 교체하는 역할을 수행합니다.
- qq.exe:
-
클립보드 감시 기능을 통해 사용자가 복사한 모든 암호화폐 지갑 주소를 탐지하고, 이를 공격자의 주소로 자동으로 변경합니다. 이 기능은 사용자의 이해를 방해하고 금전적 피해를 초래할 수 있습니다.
-
pxcc.exe:
- 사용자의 시스템 내의 특정 파일에서 암호화폐 주소를 탐색하여, 발견된 주소를 공격자가 지정한 지갑 주소로 변경합니다. 이 파일 기반 하이재킹 기능은 사용자 문서 내에 있는 민감 정보를 직접 조작하는 고급 기술을 활용합니다.
이러한 두 페이로드는 svcstealer의 전체 공격 계획의 핵심 요소로, 단순한 정보 탈취를 넘어 사용자의 암호화폐 자산을 직접적으로 노리는 고도화된 공격 패턴을 보입니다.
금전 흐름 및 자금 세탁 정황
사이버 범죄에 있어 암호화폐는 중요한 역할을 하고 있으며, 이를 통해 금전적 이득을 추구하는 공격자들이 증가하고 있습니다. 특히 최근에 등장한 악성코드인 svcstealer와 diamotrix clipper는 조직적인 자금 세탁 흐름을 만들어내는 데 적합한 수단으로 등장하였습니다.
암호화폐 거래 분석
svcstealer 악성코드는 C++로 제작되어 다양한 민감 데이터를 탈취한 후, 이를 외부 서버로 전송합니다. 특히 암호화폐 지갑 데이터, 메신저 정보, 파일 내의 민감정보를 대상으로 하며, 이러한 데이터가 공격자의 지갑으로 변조되면 금전적 피해를 초래할 수 있습니다. 이 과정에서 사용자는 자신이 인지하지 못한 채로 자산을 잃게 됩니다.
“특히 pxcc.exe는 정적 파일 탐색 기반으로 시스템 전체를 대상으로 공격 범위를 확장하며, 사용자 파일의 무결성을 훼손하면서 장기적인 공격 지속성을 확보하려는 의도를 내포하고 있다.”
아래는 공격자 지갑에서 확인된 금전 흐름입니다.
| 날짜 | 금액 (LTC) | 송금된 지갑 | 비고 |
|---|---|---|---|
| 2025-04-01 | 186.2001 | binance 및 41개의 다른 지갑 | 반복 송금 및 환류 발생 |
| 추적 결과 | – | 여러 지갑으로 분산 송금 | 자금 세탁 가능성 시사 |
이와 같은 조사 결과는 두 악성코드 간의 연관성 뿐만 아니라, 공격자의 의도와 방법을 보여줍니다.
조직적인 자금 세탁 패턴
현재 분석 중인 svcstealer는 단발성 공격이 아닌 조직적인 자산 은닉 패턴을 따릅니다. 수집된 자산은 binance 등 여러 플랫폼을 경유하여 분산 송금되며, 이를 통해 금전 흐름을 은폐하려는 경향이 보입니다. 최근 조사에서 특정 지갑에서 약 186 LTC가 단일 입금된 후, 다양한 지갑으로 분산 발송된 정황이 포착되었습니다. 이는 자금 세탁을 의도한 것으로 해석할 수 있습니다.
또한, 공격에 사용된 지갑 주소와 관련된 IP 분석에서도 상대적으로 안정적인 인프라를 바탕으로 활동하는 정황이 확인되었습니다. 이로 인해 이들 악성코드는 향후 추가 공격 및 자금 세탁과 관련된 새로운 형태의 위협이 될 수 있습니다.
결론적으로, svcstealer와 diamotrix clipper는 단순한 정보 탈취를 넘어서, 구조적이며 조직적인 범죄 활동을 가능하게 하는 심각한 사이버 위협 요소로, 이에 대한 기술적 대응이 절실히 요구됩니다.
svcstealer의 위협 수준 및 대응 방안
위협 수준 및 피해 사례
svcstealer는 최근 탐지된 신종 인포스틸러 악성코드로, 암호화폐 사용자를 주요 대상으로 삼고 있습니다. 이 악성코드는 시스템 내 다양한 민감 데이터를 수집하고, 이후 공격자의 서버로 전송하는 기능을 가지고 있습니다. 수집되는 정보는 암호화폐 지갑, 메신저 앱 설정, FTP 클라이언트 데이터, 사용자 문서 등 광범위하여 상당한 피해를 초래할 수 있습니다.
“본 악성코드는 단순한 정보 탈취에 그치지 않고, 자산 탈취를 위한 추가 페이로드를 다운로드하여 실행하는 다단계 공격 구조를 가지고 있습니다.”
실제로, svcstealer는 클립보드 하이재킹 및 파일 기반 하이재킹 기능을 통해 사용자가 입력한 암호화폐 주소를 공격자의 주소로 변경하는 피해 사례가 확인되었습니다. 이는 사용자가 느끼지 못하는 사이에 금전적 손실을 입힐 수 있는 매우 위험한 상황을 초래합니다.
| 피해 정보 유형 | 설명 |
|---|---|
| 암호화폐 지갑 정보 | 지갑 애플리케이션 데이터 및 확장 정보 수집 |
| 메신저 데이터 | 다양한 메신저의 설정 정보 탈취 |
| 시스템 정보 | 설치된 소프트웨어 목록 및 실행 중인 프로세스 정보 |
| 브라우저 데이터 | 저장된 로그인 정보 및 신용카드 정보 털림 |
대응 체계 및 예방 방안
svcstealer와 같은 악성코드의 위협에 대응하기 위해서는 여러 단계의 대응 체계가 필요합니다.
-
보안 솔루션 강화: 최신 보안 솔루션을 통해 악성코드 탐지 및 예방 체계를 강화해야 합니다. 특히, 악성코드가 사용하는 기법에 맞춘 실시간 감시 기능이 필수적입니다.
-
사용자 교육: 사용자들에게 피해 사례와 악성코드의 작동 방식에 대한 교육을 제공함으로써, 스스로 피해를 최소화할 수 있도록 하는 것이 중요합니다. 특히, 닉네임을 적절히 설정하고, URL 입력을 통한 접근 방식을 조심할 필요가 있습니다.
-
지속적인 모니터링: 보안 관제 시스템을 통해 네트워크 트래픽을 지속적으로 모니터링하고, 의심스러운 패턴이 발생할 경우 즉각적으로 대응해야 합니다.
-
데이터 백업: 중요한 데이터를 주기적으로 백업하여 피해 발생 시 빠르게 복원할 수 있도록 대비해 두는 것이 좋습니다.
svcstealer는 더욱 정교한 금융 탈취 수법을 활용하고 있으며, 조직적인 대응 전략을 통해 이로 인한 피해를 최소화할 수 있습니다. 위협 인텔리전스 공유 및 침해 지표를 기반으로 한 공동 대응 체계의 구축이 필요합니다.