암호화폐 사용자를 겨냥한 svcstealer의 위험성은?

svcstealer의 개요 및 기능

신종 인포스틸러의 정체

svcstealer는 2025년 초에 탐지된 신종 인포스틸러 악성코드로, C++ 기반으로 설계되어 있습니다. 이 악성코드는 감염된 시스템에서 민감한 정보를 수집하여 공격자의 서버로 전송하는 기능을 가지고 있습니다. 수집되는 정보는 암호화폐 지갑, 메신저, FTP 클라이언트 데이터, 시스템 정보 및 브라우저 저장 정보 등으로 매우 다양합니다.

“svcstealer는 기존의 인포스틸러 악성코드의 기능을 뛰어넘어 다단계 공격 구조를 구현하고 있습니다.”

정보 수집 방식

svcstealer는 감염된 시스템에서 민감한 데이터를 수집하기 위해 여러 가지 정보 수집 방식을 활용합니다. 다음은 주요 수집 대상입니다:

• 암호화폐 지갑 데이터
• 메신저 애플리케이션 정보
• FTP 클라이언트 데이터
• 설치된 소프트웨어 목록
• 브라우저 저장 정보

이 모든 정보는 고유 식별자를 기반으로 이름이 지정된 ZIP 파일 형태로 압축되어, 공격자의 C2 서버로 전송됩니다. 전송 과정은 일반적인 웹 트래픽으로 위장되어 있어 네트워크 탐지를 우회하게 설계되었습니다.

수집 대상	설명
암호화폐 지갑	사용자의 지갑 애플리케이션 정보 수집
메신저 정보	Telegram, Discord 등 메신저 데이터 수집
FTP 클라이언트	FileZilla 등 FTP 클라이언트 정보 수집
시스템 정보	사용자 및 시스템 관련 정보 수집
브라우저 정보	로그인 정보 및 신용카드 정보 수집

다단계 공격 구조

svcstealer는 단순히 정보를 탈취하는 데 그치지 않고, 다단계 공격 구조를 통해 보다 정교한 방식을 사용합니다. 감염된 시스템에서 정보를 수집한 후, 공격자는 C2 서버로부터 “qq.exe”와 “pxcc.exe”라는 두 개의 추가 페이로드를 다운로드하여 실행합니다.

• “qq.exe”: 클립보드에 저장된 암호화폐 지갑 주소를 감시하고, 이를 공격자의 주소로 교체합니다.
• “pxcc.exe”: 사용자의 파일 내에서 암호화폐 주소를 탐지하여 공격자의 주소로 치환하는 기능을 담당합니다.

이러한 방식은 피해자가 인지하지 못한 채 자산이 탈취될 수 있도록 하며, 금전 탈취의 위험을 높입니다. 이러한 악성코드의 체계적 공격 방식은 사용자 데이터를 효과적으로 노출시키며, 지속적인 공격 위협을 형성합니다.

이와 같은 신종 악성코드에 대비하기 위한 조치가 시급히 요구됩니다.

악성코드의 동작 프로세스

악성코드는 다양한 방식으로 시스템에 침투하여 정보를 수집하고 탈취합니다. 이번 블로그 포스트에서는 svcstealer라는 신종 인포스틸러 악성코드의 동작 방식에 대해 살펴보겠습니다. 이 악성코드는 다단계 구조를 통해 지속적인 감시와 공격을 수행합니다.

감염 및 정보 탈취 과정

악성코드는 첫 번째 단계로 감염을 시작합니다. 사용자의 시스템에 침투하면서, 다음과 같은 민감 정보를 수집합니다:

• 암호화폐 지갑 데이터
• 메신저 애플리케이션 설정
• FTP 클라이언트 데이터
• 시스템 및 소프트웨어 정보
• 웹 브라우저에서 저장된 사용자 데이터

“악성코드는 백그라운드에서 은밀하게 동작하며, 사용자가 인지하지 못하게 정보를 수집합니다.”

수집된 데이터는 고유 식별자로 압축된 형태의 zip 파일로 만들어서 공격자의 C2 서버로 전송됩니다. 이를 통해 악성코드는 사용자의 중요한 정보를 탈취하게 되며, 감염된 시스템은 정보 유출 위험에 노출됩니다.

서버와의 통신 구조

svcstealer는 감염된 시스템에서 수집된 정보를 C2 서버(185.81.68.156)로 전송합니다. 이 과정에서 일반적인 웹 트래픽 형태로 위장하여 탐지를 회피하는 방식을 취합니다. 악성코드는 다음과 같은 방식으로 서버와 통신을 진행합니다:

1. HTTP POST 요청을 통해 압축된 zip 파일을 전송하고, 이는 정상적인 사용자 트래픽처럼 보이도록 설계되어 있습니다.
2. 수집된 데이터는 multipart/form-data 형식으로 보내져, 외부 탐지를 피하는 데 중점을 둡니다.

페이로드 다운로드 및 실행

정보 탈취가 완료되면, svcstealer는 추가 페이로드를 다운로드하여 실행하는 절차를 진행합니다. 다운로드되는 파일인 qq.exe와 pxcc.exe는 각각 다음과 같은 악성 행위를 수행합니다:

• qq.exe: 클립보드에서 암호화폐 주소를 감지하고 공격자의 주소로 자동 교체하는 기능을 수행합니다.
• pxcc.exe: 시스템 내 문서 파일에서 암호화폐 주소를 직접 탐색하고 공격자의 주소로 치환합니다.

파일명	기능	생성 시각
ssks.exe	메인 인포스틸러	2025-04-03 01:59:52
qq.exe	클립보드 암호화폐 주소 하이재커	2025-04-01 23:34:22
pxcc.exe	파일 내 암호화폐 주소 하이재커	2025-04-01 23:31:30

이러한 복잡한 프로세스를 통해 악성코드는 사용자의 자산을 탈취하고, 지속적으로 활동할 수 있는 관리 체계를 유지합니다. svcstealer와 같은 악성코드를 통해 실제 사용자 자산이 앗아가는 위험이 명확히 드러나고 있습니다.

정보 수집 대상 및 방법

사이버 보안 분야에서 악성코드의 정보 탈취는 큰 위협으로 평가받고 있습니다. 최근 svcstealer라는 신종 인포스틸러 악성코드는 다각적인 정보 수집 기법을 사용하여 피해자의 민감한 데이터를 탈취합니다. 이 섹션에서는 이 악성코드가 주로 수집하는 정보의 종류와 그 방법에 대해 다룰 것입니다.

암호화폐 지갑 정보

svcstealer는 암호화폐 지갑 정보를 주요 타겟으로 하고 있습니다. 감염된 시스템에서 해당 악성코드는 다양한 암호화폐 지갑 애플리케이션의 데이터를 탐색하고 수집합니다. 특히, 다음과 같은 지갑 및 브라우저 확장 프로그램을 대상으로 합니다:

지갑 애플리케이션	브라우저 확장 프로그램
exodus	metamask
electrum	binance
bitcoin	tron
atomic	phantom
	ton

수집된 데이터는 특정 폴더에 저장되어 공격자의 서버로 전송됩니다. 이러한 정보는 금전 탈취로 이어질 수 있는 중요한 데이터로 평가됩니다.

“악성코드는 정보 탈취에 그치지 않고, 추가적인 악성 페이로드를 다운로드하여 피해를 더욱 확장시킬 수 있습니다.”

메신저와 FTP 클라이언트

svcstealer는 사용자의 메신저 애플리케이션 데이터와 FTP 클라이언트 설정 정보도 수집합니다. 주요 메신저로는 Telegram, Discord, Tox 등이 포함되어 있으며, FTP 클라이언트로는 FileZilla가 있습니다. 이러한 정보들은 사용자의 소통 및 데이터를 관리하는 데 중요한 역할을 하며, 공격자는 이를 이용해 피해자의 계정을 감시하거나 불법적으로 접근할 수 있는 가능성이 큽니다.

브라우저 저장 정보 수집

참여자의 브라우저에 저장된 민감한 정보도 svcstealer의 수집 범위에 포함됩니다. 이 악성코드는 사용자의 로그인 정보, 신용카드 정보, 방문 기록, 다운로드 기록 등을 탈취합니다. 이러한 정보는 다양한 브라우저 (Chrome, Edge, Opera 등)에서 수집되며, 공격자는 이 데이터를 활용하여 추가 공격을 감행할 수 있습니다. 수집 결과는 각 브라우저별로 텍스트 파일 형식으로 저장되어 공격자의 서버로 전송됩니다.

수집 정보 항목	대상 브라우저
로그인 정보	chrome, brave
신용카드 정보	chrome, edge
방문 기록	chrome, edge
다운로드 기록	chrome, edge

이와 같이 svcstealer는 다양한 방법으로 정보를 수집하고, 이 정보를 외부로 전송하는 복잡한 구조를 가지고 있습니다. 각 범위의 정보 탈취가 금전적 피해로 이어질 수 있는 만큼, 사용자들은 더욱 조심스러운 사이버 보안 관리가 필요합니다.

클립보드 및 파일 변조 활동

최근 샌즈랩의 분석에 따르면, 신종 인포스틸러 악성코드인 svcstealer가 클립보드를 감시하고 문서 파일 내의 주소를 변조하여 사용자의 암호화폐 자산을 탈취하는 방식으로 활동하고 있습니다. 이번 섹션에서는 클립보드 감시 기능, 문서 파일 내 주소 치환, 그리고 장기적인 자산 탈취 가능성에 대해 자세히 살펴보겠습니다.

클립보드 감시 기능

svcstealer의 클립보드 하이재킹 기능은 사용자가 복사한 암호화폐 지갑 주소를 감지하여 공격자의 지갑 주소로 자동 교체하는 데 중점을 두고 있습니다. 백그라운드에서 주기적으로 클립보드를 모니터링하며, 다음의 두 가지 절차를 통해 실행됩니다.

1. 정규 표현식을 통한 감지: 클립보드에 저장된 문자열을 정규 표현식으로 분석하여 암호화폐 주소를 확인합니다.
2. 주소 치환: 감지된 주소는 공격자의 지갑 주소로 교체되어, 사용자는 자신의 입력을 정확하게 인식하지 못한 채 자산을 이동하게 됩니다.

이러한 클립보드 감시는 사용자의 주의력 부족을 악용하여 중대한 금전적 피해를 유발할 수 있습니다.

문서 파일 내 주소 치환

svcstealer가 수행하는 파일 내 주소 치환 기능은 사용자가 저장한 문서 파일 내 암호화폐 주소를 직접 탐색하고 수정하는 과정입니다. 이 과정은 다음과 같이 진행됩니다:

1. 디렉토리 탐색: 사용자의 개인 디렉토리 내 다양한 폴더를 탐색하여 파일을 식별합니다.
2. 파일 내용 수정: 정적 하이재킹 기능을 통해 파일 내 암호화폐 주소가 감지되면, 이를 공격자의 주소로 변경하여 저장합니다.

이러한 방식은 사용자가 의도하지 않은 암호화폐 송금이 이루어질 수 있도록 하며, 이는 피해를 심화시키는 원인이 됩니다.

장기적 자산 탈취 가능성

svcstealer의 클립보드 및 파일 변조 기능은 단순한 정보 탈취를 넘어, 장기적인 자산 탈취 가능성을 내포하고 있습니다. 연구 결과에 따르면, 해당 악성코드는 감염된 시스템에서 지속적으로 정보를 수집하고, 확인된 주소를 공격자의 지갑 주소로 변경하여 범죄 행위를 반복할 수 있습니다. 이 과정에서 생성된 암호화폐 거래 내역은 자금 세탁 시도로 연결될 수 있으며, 공격자가 관리하는 여러 지갑 주소들 간의 거래가 이를 뒷받침합니다.

“svcstealer는 단순한 악성코드에 그치지 않고, 조직적인 자금 세탁과 자산 은닉의 계기가 될 수 있는 가능성을 내포하고 있다.”

결론

svcstealer의 클립보드 및 파일 변조 활동은 단순한 정보 탈취를 넘어 사용자의 재산에 직접적인 영향을 미치는 심각한 사이버 위협입니다. 사용자들은 이러한 위협에 대한 경각심을 가지고, 안전한 암호화폐 관리를 위해 보안 솔루션을 강화하고 지속적으로 주의해야 합니다.

금전 세탁 흐름의 분석

악성코드의 복잡한 작동 메커니즘 속에서 나타나는 금전 세탁 흐름의 패턴을 분석하는 것은 필수적입니다. 이번 섹션에서는 거래 흔적 추적, 금전 흐름의 배경, 그리고 조직적 자산 은닉 패턴에 대해 다룰 것입니다.

거래 흔적 추적

금전 세탁의 첫 번째 단계는 거래 흔적을 추적하는 것입니다. 최근 탐지된 svcstealer와 같은 악성코드가 사용자 정보를 탈취하고 거래 내역을 분석하여 자금 흐름을 파악하는 경향을 보입니다. 이 악성코드는 감염된 시스템에서 다양한 민감 데이터를 수집하고, 이를 외부 서버로 전송하여 필요할 시 자금을 세탁할 수 있습니다.

“정보 탈취가 완료된 이후에는 c2 서버로부터 추가 페이로드를 다운로드해 실행하며, 이를 통해 감염 시스템 내에서 클립보드 · 파일 기반의 암호화폐 주소 하이재킹 기능까지 단계적으로 수행된다.”

금전 흐름 분석 항목	탐지된 거래 내역
자산 종류	Litecoin (LTC)
단일 입금액	약 186.2001 LTC
송금 방식	41개의 서로 다른 지갑으로 분산 송금

이 테이블에서 확인할 수 있듯이, 악성코드는 단일 입금액을 여러 개의 지갑으로 분산 송금하는 방식으로 자금 세탁을 시도하고 있습니다.

금전 흐름의 배경

금전 흐름의 배경은 악성코드가 과거에 보고된 클리퍼 계열과의 유사성을 통해 드러납니다. svcstealer는 정보 탈취 이후 클립보드 및 파일 내 암호화폐 주소를 교체하는 기능을 있어, 피해자가 인식하지 못한 상태에서 자산을 탈취합니다. 이와 같은 특성은 금전 흐름의 연속성을 유지하기 위한 전략으로 해석될 수 있습니다.

조직적 자산 은닉 패턴

마지막으로, 조직적 자산 은닉 패턴을 살펴보면, svcstealer와 diamotrix clipper가 동일한 제작자 또는 공격자의 인프라를 공유하고 있는 가능성이 보입니다. 이러한 패턴은 공격자가 더 큰 규모의 자산을 은닉하고 세탁하기 위한 전략으로 분석될 수 있습니다. 통계적으로 확인된 바와 같이, 금전 세탁을 위한 반복적인 송금 활동은 조직적 행동의 한 예로 볼 수 있습니다.

결론

이러한 분석을 통해 우리는 악성코드가 단순한 정보 탈취를 넘어 실제 자산 탈취와 금전 세탁까지 연계 되는 복잡한 구조를 가지고 있음을 알 수 있습니다. 따라서, 향후 이와 유사한 위협에 대응하기 위해서는 블록체인 기반 자금 흐름 추적 시스템과 같은 보다 적극적인 기술적 대응 체계의 수립이 필수적입니다.

비상 대응 및 예방법

사이버 공격의 위협이 증가함에 따라, 기업과 개인 모두의 사이버 보안 대응 체계를 강화하는 것은 필수적입니다. 특히, 암호화폐 사용자를 목표로 한 악성코드 공격은 날로 증가하고 있으며 이에 대한 효과적인 대응 방안 마련이 요구됩니다. 이에 아래에서 유사 위협 대응 체계, 침해 지표 공유, 그리고 사이버 보안을 강화하기 위한 조치에 대해 상세히 살펴보겠습니다.

유사 위협 대응 체계

악성코드 svcstealer와 같은 신종 인포스틸러의 위협이 증가함에 따라, 기업 내에서 유사한 위협을 효과적으로 검출하고 대응하기 위한 체계적인 시스템이 필수적입니다. 이를 위해 다음과 같은 방안을 모색할 수 있습니다:

1. 정기적인 악성코드 분석: 최신 악성코드 및 위협 동향을 지속적으로 파악하여 신속히 대응할 수 있는 체계를 구축해야 합니다.
2. 사이버 위협 인텔리전스 서비스 활용: 기업의 보안 환경에 맞는 정보를 제공하는 위협 인텔리전스 서비스(예: ctx)를 통해 실시간으로 정보를 수집하고 활용합니다.

“사이버 보안은 단순한 기술적 조치가 아니라 전략적 접근이 필요하다.”

이러한 유사 위협 대응 체계를 통해 기업은 미래의 사이버 공격에 더 탄력적으로 대응할 수 있습니다.

침해 지표 공유

침해 지표(IOC, Indicator of Compromise)는 보안 사건과 관련된 여러 정보를 수집하고 공유하는 프로세스입니다. 이는 다음과 같은 방법으로 이루어질 수 있습니다:

침해 지표 항목	설명
SHA-256 해시	감염된 파일이나 악성 코드의 해싱 값
IP 주소	악성코드가 통신하는 C2 서버의 IP 주소
URL	악성코드가 다운로드되는 경로
공격자 암호화폐 주소	악성 행위와 연결되는 암호화폐 주소

기업 간 침해 지표를 공유함으로써 산업 전반의 사이버 방어력을 향상시킬 수 있습니다. 이는 전체적인 사이버 환경을 안전하게 만들기 위한 필수적인 절차입니다

.

사이버 보안 강화를 위한 조치

사이버 보안을 강화하기 위해서는 다음과 같은 조치를 취할 수 있습니다:

1. 보안 교육 및 훈련: 직원들에게 정기적인 보안 교육을 실시하여 사이버 공격에 대한 인식을 높이고, 실제 공격 사례를 통해 경각심을 일깨워야 합니다.
2. 최신 보안 솔루션 도입: 행위 기반 탐지 해결책과 같은 최신 보안 툴을 통해 사이버 공격을 사전에 차단하는 기술적 방안을 강화합니다.
3. 취약점 관리: 시스템과 소프트웨어의 취약점을 주기적으로 점검하여 신속히 패치하고 보완하는 절차가 필요합니다.

이러한 조치들은 개인과 기업 모두의 사이버 보안 격차를 줄여줄 것입니다.

결론적으로, 사이버 공격에 대한 다각적인 대응과 사전 예방 조치는 기업의 자산과 데이터를 안전하게 보호하는 데 중요한 역할을 합니다. 증가하는 사이버 위협에 대응하기 위해 지속적인 대응 체계 및 침해 지표의 공유는 더 이상 선택이 아닌 필수가 되어 있습니다. 안전한 사이버 환경을 구축하기 위해서는 각 개체가 자율적이고 적극적으로 협력해야 한다는 점을 명심해야 합니다.

함께보면 좋은글!

• 성정동 마사지 바른체형관리센터의 매력은?

  →

• 혈당 조절에 도움이 되는 식품은?

  →

• 근력과 유산소 운동 최적 조합은?

  →

• 다이어트 음료로 뱃살 빼는 법은?

  →

• 간 기능 개선을 위한 건강 식단은?

  →