가상화폐 지갑 정보 탈취 악성코드 ‘에피머’ 소개

가상화폐 지갑 정보 탈취 악성코드 ‘에피머’, 해킹된 워드프레스 사이트 통해 확산 (사진 출처 : 데일리시큐)

가상화폐 지갑 정보를 탈취하는 악성코드 ‘에피머’가 최근 전 세계적으로 확산되고 있다는 경고가 있었습니다. 이 악성코드는 클립보드 하이재킹(clipboard hijacking)형 트로이목마로, 사용자의 가상화폐 지갑 주소를 공격자가 제어하는 주소로 바꿔치기하는 기능을 가지고 있습니다. 이번 포스트에서는 에피머의 유포 경로, 작동 방식, 주요 기능, 그리고 피해 예방을 위한 보안 수칙에 대해 자세히 알아보겠습니다.

 

카스퍼스키(Kaspersky)에 따르면, 에피머는 변호사를 사칭한 피싱 이메일과 해킹된 워드프레스(WordPress) 사이트를 통해 유포되고 있습니다. 이 악성코드는 지난해 10월부터 현재까지 5,000명 이상의 사용자가 감염된 것으로 확인되었습니다. 특히, 이 악성코드는 사용자의 가상화폐 지갑 정보를 노리고 있으며, 피해를 입은 사용자들은 자신의 자산을 잃을 위험에 처해 있습니다.

 

에피머의 유포 경로

 

에피머는 주로 두 가지 경로를 통해 유포됩니다. 첫 번째는 변호사를 사칭한 피싱 이메일입니다. 이 이메일은 ‘유명 브랜드를 대리하는 변호사’라는 신분으로 수신자에게 특정 도메인 이름 침해로 인해 법적 조치를 당할 수 있다고 위협합니다. 이메일 본문에는 구체적인 내용이 거의 없고, 대신 ‘Demand_984175’라는 이름의 ZIP 첨부파일을 열도록 유도합니다.

 

두 번째 경로는 해킹된 워드프레스 사이트를 통한 영화 다운로드 위장 게시물입니다. 사용자는 이러한 게시물을 클릭함으로써 악성코드에 감염될 수 있습니다. 따라서, 출처가 불분명한 이메일이나 웹사이트는 절대 클릭하지 않는 것이 중요합니다.

 

악성코드의 작동 방식

 

에피머는 중첩된 압축파일 형태로 배포되며, ‘Requirement.wsf’라는 윈도우 스크립트 파일이 포함되어 있습니다. 이 파일이 실행되면, 피해자의 권한 수준에 따라 다른 절차를 거쳐 ‘C:\Users\Public\controller’ 경로에 악성코드 본체가 저장됩니다. 만약 사용자가 관리자 권한을 가지고 있다면, 해당 폴더와 실행 파일이 마이크로소프트 디펜더(Microsoft Defender) 예외 목록에 추가되고 예약 작업이 설정됩니다. 이러한 방식으로 악성코드는 사용자의 시스템에 깊숙이 침투하게 됩니다.

 

에피머의 주요 기능

 

에피머의 가장 큰 특징은 클립보드에서 가상화폐 지갑 주소를 모니터링한 뒤 이를 공격자가 제어하는 지갑 주소로 바꿔치기하는 것입니다. 이 악성코드는 비트코인(Bitcoin), 이더리움(Ethereum), 모네로(Monero) 주소를 인식하며, 주소의 시작 또는 끝 문자가 공격자 지갑과 일치하도록 치환하여 사용자가 눈치채지 못하도록 설계되었습니다. 이러한 기능은 사용자가 자신의 지갑 주소를 복사하여 붙여넣을 때, 실제로는 공격자의 주소로 전송되도록 만듭니다.

 

피해 예방을 위한 보안 수칙

 

에피머와 같은 악성코드로부터 자신을 보호하기 위해서는 몇 가지 보안 수칙을 지켜야 합니다. 첫째, 출처가 불분명한 이메일이나 링크는 클릭하지 않는 것이 좋습니다. 둘째, 항상 최신 보안 소프트웨어를 사용하고 정기적으로 시스템을 검사해야 합니다. 셋째, 비밀번호는 복잡하게 설정하고, 주기적으로 변경하는 것이 좋습니다. 마지막으로, 가상화폐 지갑의 주소를 복사할 때는 항상 주소를 확인하고, 의심스러운 점이 있다면 거래를 중단해야 합니다.

 

마무리 및 주의사항

 

에피머와 같은 악성코드는 점점 더 정교해지고 있으며, 사용자들의 경각심을 높여야 할 필요성이 있습니다. 가상화폐를 안전하게 관리하기 위해서는 항상 주의하고, 보안 수칙을 철저히 지켜야 합니다. 피해를 입지 않도록 항상 경계하는 것이 중요합니다.

 

이 포스트가 여러분에게 도움이 되었기를 바랍니다. 가상화폐를 안전하게 관리하고, 악성코드로부터 자신을 보호하는 데 유용한 정보가 되었으면 합니다.