약 8만 대의 PC가 신종 암호화폐 악성 코드에 감염된 것으로 조사됐다.

26일(현지 시간) 마이크로소프트 디펜더 ATP 연구팀은 새로운 암호화폐 탈취 멀웨어에 대한 보고서를 발표했다.

보고서에 따르면 덱스포트(Dexphot)라고 불리는 멀웨어 악성코드가 2018년 10월 처음 등장해, 올해 6월 약 8만여 대가 감염돼 이미 최고조에 달했다는 설명이다.

정상적인 시스템 프로세스를 통해 이식된 덱스포트는 감염된 PC에 암호화폐 채굴 소프트웨어를 설치하는 것을 목표로 한다. 덱스포트를 더욱 조심해야 하는 이유는 감염된 PC의 사용자가 멀웨어를 제거하려고 하면 모니터링 및 스케줄링 된 프로세스를 통해 PC를 재감염시킨 다는 점이다.

▲아카이브에서 추출된 로더 DLL에서 발견된 덱스포트 파일

[출처 : 마이크로소프트 디펜더 ATP 연구팀]

덱스포트는 주요 5개의 파일에서 발견됐다. 해당 파일은 △두 개의 URL이 있는 설치 프로그램 △URL 중 하나에서 다운로드 한 MSI 패키지 파일 △비밀번호로 보호된 ZIP 아카이브 △아카이브에서 추출된 로더 DLL △HWP파일로 위장·암호화된 데이터 파일 등이다.

마이크로소프트 디펜더 ATP 연구팀은 “덱스포트는 미디어의 관심을 받는 공격 유형이 아니라 수많은 악성 코드 중 하나다”며 “이 같은 우리가 매일 직면하는 수많은 위협으로부터 포관적인 보호 기능을 제공할 것”이라고 전했다.

덱스포트는 최근에 발견된 윈도우 표준 사운드 포맷 웨브(.WAV) 파일에서 크립토재킹 악성코드와 유사하다. 지난 10월 백신 프로그램 기업 블랙베리 사일런스(BlackBerry cylance)가 발견한 악성코드는 스테가노그래피(Steganography, 해킹에서 정보를 은닉하는 방법 중 하나)의 일종으로 원격 액세스를 설정하는 코드가 포함됐다.

이러한 유형의 멀웨어는 대상 PC의 CPU에 악성코드를 심어 처리 리소스를 훔치고 매월 수천 달러의 암호화폐를 생성할 수 있다. 즉, 크립토재킹(일반인 PC를 암호화폐 채굴에 이용하는 신종 사이버 범죄, cryptojacking)으로 사용자는 알아채기 어렵다는 점에서 해커들 사이에서 인기 있는 멀웨어 방식으로 알려져 있다.

한편 마이크로소프트 디펜더 ATP 연구팀은 덱스포트에 대한 주의를 당부했으며, 아티팩트를 제거하여 재감염을 방지하는 치료 솔루션을 제공하고 있다.

보다 다양한 정보 및 방송관련 소식은

공식 SNS채널을 통해 확인 가능합니다.