[데일리시큐]가상화폐 지갑 정보 탈취 악성코드 ‘에피머’, 해킹된 워드프레스 사이트 통해 확산

내용 요약

카스퍼스키는 가상화폐 지갑 정보를 탈취하는 새로운 클립보드 하이재킹 트로이목마 'Efimer'가 전 세계적으로 확산되고 있다고 경고했습니다. 이 악성코드는 변호사 사칭 피싱 이메일과 해킹된 워드프레스 사이트를 통한 영화 다운로드 위장 게시물로 유포되며, 2023년 10월부터 2025년 7월까지 5,000명 이상의 사용자가 감염된 것으로 추정됩니다. 공격 이메일은 유명 브랜드를 대리하는 변호사를 사칭합니다.

핵심 포인트

• Clipboard Hijacking: 클립보드에 복사된 내용을 악성 코드로 변조하여 가상화폐 주소 등을 탈취하는 공격 기법
• 피싱 이메일 및 악성 웹사이트: 변호사 사칭 이메일과 해킹된 WordPress 사이트를 이용한 악성코드 유포 경로
• 가상화폐 탈취: 궁극적인 목표는 가상화폐 지갑 정보를 탈취하여 금전적 이득을 취하는 것

기술 세부 내용

1️⃣ Efimer 트로이목마

• 정의: 가상화폐 지갑 정보를 탈취하는 클립보드 하이재킹(Clipboard Hijacking) 형태의 악성코드
• 기능: 사용자가 클립보드에 복사한 가상화폐 주소를 악성 주소로 변경하여 가상화폐를 탈취
• 확산 경로:
  • 피싱 이메일 (Phishing Email): 변호사를 사칭하여 악성 링크 또는 첨부파일을 포함한 이메일 발송
  • 해킹된 WordPress 사이트: 영화 다운로드 등으로 위장한 악성 게시물을 통해 유포
• 감염 규모: 2023년 10월부터 2025년 7월까지 5,000명 이상의 사용자 감염 추정

2️⃣ Clipboard Hijacking ✂️

• 정의: 사용자가 클립보드에 복사한 데이터를 악성 코드를 통해 변조하는 공격 기법
• 원리:
  1. 사용자가 가상화폐 주소를 클립보드에 복사 ➡️
  2. 악성코드가 클립보드 내용을 감시 ️
  3. 가상화폐 주소를 공격자의 주소로 변경 ✍️
  4. 사용자가 변조된 주소를 붙여넣기하여 송금 ➡️
  5. 가상화폐가 공격자의 지갑으로 전송
• 주요 공격 대상: 가상화폐 주소, 계좌번호, 개인 정보 등

3️⃣ 피싱 (Phishing)

• 정의: 신뢰할 수 있는 주체(예: 변호사, 은행)를 사칭하여 개인 정보나 금융 정보를 탈취하는 사회공학적 공격 기법
• 구성 요소:
  • 미끼 (Bait): 긴급하거나 흥미로운 내용으로 사용자의 주의를 끔
  • 가짜 웹사이트/이메일: 진짜와 매우 유사하게 만들어 사용자를 속임
  • 개인 정보 요구: 계정 정보, 비밀번호, 신용카드 정보 등을 요구
• 예방 방법:
  • 의심스러운 이메일/링크 클릭 금지
  • 발신자 주소 확인
  • 개인 정보 요구에 응하지 않기 ‍♀️

4️⃣ WordPress 보안 취약점 ️

• 문제점: WordPress는 널리 사용되는 CMS(Content Management System)로, 다양한 플러그인과 테마를 제공하지만, 보안 취약점이 존재할 수 있음
• 악용 사례:
  • 해커가 WordPress 사이트의 취약점을 이용하여 악성 코드를 삽입
  • 사용자가 해킹된 사이트를 방문하여 악성 코드에 감염
• 보안 강화 방법:
  • WordPress 코어, 플러그인, 테마 최신 버전 유지
  • 강력한 비밀번호 사용
  • 보안 플러그인 설치 및 활성화 ✅
  • 정기적인 보안 점검

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=168748