디파이(Defi) 악성 데스크톱 앱 표적 공격

편집자 주: qtmoses암호화폐 조사에 대한 컨설팅을 제공하는 외부 전문가가 이 보고서에 기여했습니다.

‍

무슨 일이 있었나요?

지속적으로 진행 중입니다, TRM Labs 은 피싱, 계약 익스플로잇, 가상자산 금전적 악용에 관여하는 위협 행위자를 추적하고 가상자산 최근에는 탈중앙화 금융을 표적으로 하는 악성코드 캠페인(디파이(Defi))을 노리는 악성 데스크톱 앱을 통해 망고 마켓 사용자를 공격하는 악성코드 캠페인이 발생했습니다.

망고 마켓은 현물 마진, 무기한 선물, 차용 및 대출을 제공하는 탈중앙화 자율 조직으로, 망고[.]마켓을 통해 거래합니다.

2021년 10월 6일, 공식 망고 디스코드 그룹 회원들에게 다음 주소로 이동하라는 다이렉트 메시지가 전송되었습니다. https://mangomarkets[.]net으로 이동하라는 쪽지가 발송되었습니다. 이 쪽지를 받은 망고 회원은 서버 회원의 쪽지를 차단하도록 디스코드 개인정보 설정을 구성하지 않았을 가능성이 높습니다.

이는 NFT 드롭과 관련된 피싱 사기에 익숙해진 암호화폐 사용자들에게 익숙한 이야기의 시작처럼 들릴 수 있습니다. 디파이(Defi) 앱 웹사이트 사기와 관련된 피싱 사기에 익숙해져 있지만, 다행히도 망고 팀은 신속하게 대처하여 트위터 팔로워들에게 망고 데스크톱 앱이 스캠 알렸습니다. 그 결과 현재까지 데스크톱 앱 스캠 피해를 입었다고 주장하는 사람이 없어 큰 피해는 피할 수 있었던 것으로 보입니다.

‍

그럼에도 불구하고 이 사례에서 배울 점이 많습니다:

1. 여기에는 스팸 발송자에 맞서기 위해 Discord 계정을 보호하는 모범 사례가 나와 있습니다.

2. 아래에서 설명하는 데스크톱 앱의 멀웨어를 제거하면 암호화폐 사용자가 앞으로 이러한 유형의 스캠 대한 위험과 적신호를 염두에 둘 수 있을 것입니다.

‍

가짜 데스크톱 앱의 해부학

이 경우 데스크톱 스캠 앱은 원격 액세스 트로이목마(RAT)로 식별되는 악성 프로그램입니다. RAT는 해커가 피해자 컴퓨터에서 정보를 훔칠 수 있게 해줍니다. 가짜 망고 데스크톱 앱의 경우, 가짜 앱을 다운로드한 사용자의 가상자산 계정과 관련된 민감한 정보를 탈취할 수 있습니다.

잠재적 피해자가 가짜 망고 사이트를 방문하면 뭔가 다르다는 것을 즉시 알 수 있습니다. 일반적인 "거래" 버튼 대신 웹사이트 오른쪽에 "앱 다운로드" 버튼이 있습니다. 가짜 망고 웹사이트는 "매우 빠르고, 수수료가 거의 없으며, 권한이 필요 없는" 새로운 앱 버전이 출시되었다고 주장합니다. 그 외 가짜 망고 웹사이트와 관련된 모든 내용은 원본 망고 웹사이트의 카피본입니다.

현재까지 망고는 웹 앱만 출시했으며, 커뮤니티에서 만든 데스크톱 앱은 아직 출시되지 않았습니다. 이전에 예고되지 않은 갑작스러운 변경 사항이었기 때문에 대부분의 사용자는 이를 즉시 신고하는 데 주의를 기울였고, Discord의 신고 채널은 곧 스팸 발송자 계정의 무덤이 되어버렸습니다.

‍

‍

멀웨어 분석

용감하게도 가짜 망고 앱을 다운로드한 사람들에게는 118MB의 실행 파일이 제공되었습니다. 이 다운로드 용량은 요즘 앱 크기에 비추어 볼 때 합리적인 크기이기 때문에 사기꾼들에게 유리하게 작용했을 수 있습니다. 그러나 그들이 놓쳤을 수도 있는 점은 디파이(Defi) 사용자 기반이 글로벌 OS 시장처럼 Windows OS에 편중되어 있지 않을 가능성이 높다는 점입니다.

‍

현재로서는 악성 실행 파일로 추정할 수 있으며, 의심을 없애기 위해 VirusTotal을 사용한 빠른 테스트에서 66개 제품 중 11개(작성 시점 기준 14개)가 이 실행 파일을 악성으로 플래깅 것으로 나타났습니다.

가짜 망고 데스크톱 앱이 실행될 때, 악성 지갑이 있는 합법적인 망고 UI가 코드를 훔치거나 평범한 트로이 목마가 있을 것으로 예상했습니다. 그 후 활동이 급증하고 Wireshark가 패킷으로 가득 차는 것을 목격했습니다.

Windows의 리소스 관리자를 실행하면 네트워크 연결이 활성화된 "hdscanner.exe"라는 이름의 새 사용자 공간 프로세스가 있었습니다. 파일을 검사한 결과, 메타데이터 중 일부가 초기 파일의 메타데이터와 일치했는데, 이제 설치 프로그램/언패커라는 것이 분명해졌습니다.

‍

다음 단계는 와이어샤크에서 패킷을 의심스러운 프로세스의 패킷으로 필터링하는 것이었습니다. 처음에는 악성 애플리케이션이 TLS(전송 계층 보안) 연결을 설정하고 그 이후의 모든 것이 암호화되어 있는 것을 볼 수 있었습니다. 연결이 설정되기 전에 악성 파일을 분석할 수 있는 운이 좋았던 날, 서버는 악수처럼 보이는 것을 전송했고 평문으로 자신을 BitRAT의 명령 및 제어 센터로 식별했습니다.

‍

BitRAT 멀웨어는 다양한 사이버 범죄 포럼에서 구입하거나 제작자로 추정되는 사람의 소셜 미디어 페이지에서 직접 구입할 수 있습니다. BitRAT 멀웨어가 사용자 시스템에 설치되면 원격으로 시스템에 액세스하면서 암호를 훔칠 수 있는 키로거로 작동할 수 있습니다.

악성 파일을 다운로드한 경우, 즉시 컴퓨터에서 앱을 삭제하고 암호화폐 계정을 보호하는 조치를 취하는 것이 중요합니다.

TRM Labs 은 가상자산 업계를 노리는 위협을 지속적으로 모니터링하고 있으며, 새로운 위협이 발견되는 대로 업데이트를 제공할 예정입니다.

‍

TRM Labs

TRM은 금융기관, 가상자산 사업자, 공공기관이 암호화폐 관련 사기 및 금융 범죄의 위험을 감지, 조사, 관리할 수 있도록 블록체인 인텔리전스 제공합니다. TRM의 리스크 관리 플랫폼에는 거래 모니터링 및 지갑 스크리닝, 가상자산사업자(VASP) 실사, 자금 흐름을 추적하는 조사 도구가 포함되어 있습니다. TRM은 크로스체인 분석 기능을 갖춘 유일한 도구로, 23개 블록체인과 90만 개 이상의 자산에 대한 분석 범위를 제공합니다.

TRM은 캘리포니아주 샌프란시스코에 본사를 두고 있으며 엔지니어링, 제품, 영업, 조사 및 데이터 과학 분야에서 채용을 진행하고 있습니다. 자세한 내용은 www.trmlabs.com 에서 확인하세요 . 글로벌 조사팀에 리드를 보고하려면 이메일 (investigations@trmlabs.com)로 문의하세요 .

‍