사이버 보안 연구자들은 암호화폐 보유자를 대상으로 하는 정교한 멀웨어 캠페인을 벌이고 있는 것을 발견했습니다. 이 악성 소프트웨어는 Atomic Stealer (AMOS)로 알려져 있으며, 유명한 Ledger Live 애플리케이션을 모방하여 귀중한 암호화폐 지갑의 시드 구문을 훔치고, 아랑곳하지 않는 피해자에게서 디지털 자산을 빼앗습니다.
가장 시급한 우려 사항은 멀웨어가 정품 Ledger Live 애플리케이션을 거의 동일한 악성 클론으로 대체할 수 있다는 것입니다. 피해자의 시스템에 설치된 후, 이 가짜 애플리케이션은 허위 보안 확인 또는 지갑 동기화를 위한 24단어 복구 구문 입력을 요구하는 기만적인 팝업 메시지를 표시합니다.
이 사회 공학 전술은 Ledger 하드웨어 지갑을 관리하는 데 널리 사용되는 정품 Ledger Live 애플리케이션에 대한 사용자 신뢰를 악용합니다. 피해자가 시드 구문을 입력하면, 민감한 정보는 즉시 공격자가 제어하는 명령 및 제어 서버로 전송되어 사이버 범죄자에게 연관된 암호화폐 지갑에 대한 완전한 접근 권한을 제공합니다.
Unit 42, Intego, Moonlock을 포함한 여러 회사의 보안 연구자들은 이 기술을 사용하는 적극적인 캠페인을 확인했으며, 피해자들은 수백에서 수천 달러에 이르는 암호화폐가 도난당했다는 중대한 재정 손실을 보고했습니다.
배포 방법 및 초기 감염 벡터
Atomic Stealer 멀웨어는 잠재적인 피해자에게 도달하기 위해 여러 정교한 배포 채널을 사용합니다. 주요 감염 경로에는 합법적인 소프트웨어 다운로드 포털을 모방한 세심하게 제작된 피싱 웹사이트, 인기 있는 웹사이트에 게시된 악성 광고, 손상된 소프트웨어 저장소가 포함됩니다.
공격자들은 사용자가 정품 애플리케이션을 찾을 때 악성 다운로드 사이트가 검색 결과에서 눈에 띄도록 하기 위해 검색 엔진 최적화 기술을 자주 사용합니다. 이러한 가짜 사이트에는 공식 브랜딩의 설득력 있는 복제본이 종종 포함되어 있으며 심지어 사용자 리뷰와 추천 후기를 꾸며놓기도 합니다.
또 다른 일반적인 배포 방법은 유명한 유료 소프트웨어의 크랙 또는 불법 버전을 제공하는 것입니다. 비싼 애플리케이션의 무료 대안을 찾고 있는 사용자는 Atomic Stealer 페이로드가 포함된 악성 설치 프로그램을 다운로드하는 경우가 종종 있습니다.
멀웨어 설치 프로그램은 종종 도난당하거나 사기성 인증으로 서명을 받아 기본 보안 검사를 우회하고 운영 체제와 보안 소프트웨어에 합법적으로 보입니다. 이 기술은 초기 감염의 성공률을 크게 증가시킵니다.
포괄적 데이터 도난 능력
Ledger Live 모방은 Atomic Stealer의 가장 큰 재정 손실 측면을 나타내지만, 이 멀웨어는 암호화폐 애플리케이션을 훨씬 넘어선 광범위한 데이터 도난 능력을 가지고 있습니다. 보안 분석에 따르면 이 멀웨어는 MetaMask, Coinbase Wallet, Trust Wallet과 같은 인기 있는 옵션을 포함하여 50개 이상의 암호화폐 지갑 브라우저 확장 프로그램에서 민감한 정보를 추출할 수 있습니다.
멀웨어는 Safari, Chrome, Firefox, Edge와 같은 주요 웹 브라우저에서 저장된 비밀번호를 체계적으로 수집합니다. 특히 비밀번호 관리자 및 1Password, Bitwarden, LastPass와 같은 애플리케이션이 감염 기간 동안 잠금 해제된 경우 이는 자격 증명을 추출할 수 있습니다.
금융 데이터 도난도 중요한 우려 사항이며, Atomic Stealer는 브라우저 및 금융 애플리케이션에서 저장된 신용 카드 정보, 은행 자격 증명 및 결제 처리 데이터를 추출할 수 있습니다. 이 멀웨어는 또한 브라우저 쿠키를 수집하여 공격자가 다양한 온라인 서비스에서 피해자 계정에 인증된 접근 권한을 가질 수 있도록 합니다.
시스템 정찰 기능을 통해 멀웨어는 하드웨어 사양, 설치된 소프트웨어 목록, 사용자 계정 정보에 대한 세부 정보를 수집할 수 있습니다. 이 데이터는 공격자가 고가치 타겟을 식별하고 후속 공격이나 사회 공학 캠페인을 계획하는 데 도움이 됩니다.
지속 메커니즘 및 회피 기술
Atomic Stealer는 감염된 시스템에서 지속성을 유지하고 보안 소프트웨어에 의해 탐지를 회피하기 위해 정교한 기술을 사용합니다. 멀웨어는 지속적인 작업을 보장하기 위해 실행 에이전트, 로그인 항목 및 시스템 재부팅 후에도 계속 작동하는 예약 작업을 포함한 여러 지속 메커니즘을 생성합니다.
멀웨어는 바이러스 백신 소프트웨어 및 시스템 모니터링 도구에서 자신의 존재를 숨기기 위해 고급 난독화 기술을 사용합니다. 파일 이름, 위치 및 실행 패턴을 자주 변경하여 전통적인 보안 솔루션의 시그니처 기반 탐지 방법을 피합니다.
명령 및 제어 서버와의 네트워크 통신은 암호화된 채널과 도메인 생성 알고리즘을 사용하여 특정 악성 도메인이 차단되거나 다운되어도 연결을 유지합니다. 멀웨어는 기능을 확장하기 위해 업데이트된 지시를 받고 추가 페이로드를 다운로드할 수 있습니다.
암호화폐 보안 환경에 대한 영향
Atomic Stealer의 등장은 암호화폐 사용자를 대상으로 한 위협이 크게 증가했음을 나타냅니다. 단순한 키로거나 브라우저 기반 공격에 주로 의존하던 이전 멀웨어와 달리, 이번 캠페인은 심지어 보안에 민감한 사용자도 속일 수 있는 정교한 애플리케이션 모방 능력을 보여줍니다.
재정적 영향은 개별 피해자에만 국한되지 않으며, 성공적인 공격은 암호화폐 보안 실무와 하드웨어 지갑 솔루션에 대한 신뢰를 약화시킵니다. Ledger, 정품 Ledger Live 애플리케이션의 회사는 모방 캠페인에 관한 보안 권고문을 발표하고 정품 소프트웨어 식별에 대한 안내문을 제공하고 있습니다.
업계 보안 전문가들은 이번 공격 패턴이 다른 인기 있는 암호화폐 애플리케이션에도 재현될 수 있으며, 잠재적으로 Trezor Suite, Exodus, 기타 지갑 관리 소프트웨어 등을 포함한다고 지적합니다. Ledger Live 모방 캠페인의 성공은 광범위한 암호화폐 생태계에 대한 유사 공격의 청사진을 제공합니다.
탐지 및 제거 문제
Atomic Stealer 감염을 식별하는 것은 사용자와 보안 소프트웨어 모두에게 중요한 도전 과제를 제시합니다. 멀웨어의 정교한 회피 기술과 합법적 인 체하는 동작 방식으로 인해, 일반적인 시스템 스캔 동안 정품 애플리케이션과 구별하기 어렵습니다.
사용자들은 감염을 즉시 인식하지 못할 수도 있으며, 이 멀웨어는 종종 백그라운드에서 운영 중인 동안 정품 애플리케이션이 정상 작동하도록 합니다. 암호화폐 자금이 도난당하거나 이 위협군을 탐지하도록 설계된 특정 보안 소프트웨어가 배포될 때에서야 증상이 명백히 나타날 수 있습니다.
보안 연구자들은 신뢰할 수 있는 공급업체의 업데이트된 바이러스 백신 솔루션을 사용하는 것이 좋으며, 대부분의 주요 보안 회사는 알려진 Atomic Stealer 변형에 대한 탐지 시그니처를 추가했습니다. 그러나 멀웨어의 빠른 진화 때문에 탐지는 새로운 변형에 뒤처질 수 있습니다.
보호 전략
Atomic Stealer와 유사한 위협으로부터 보호하려면, 기술적 안전장치와 사용자 교육을 결합한 다층적 보안 접근법이 필요합니다. 가장 중요한 방어는 공식 소스와 검증된 앱 스토어에서만 소프트웨어를 다운로드하고 제3자 다운로드 사이트 및 토렌트 저장소를 피하는 것입니다.
사용자는 시드 구문 관리를 위한 엄격한 정책을 구현해야 하며, 절대적으로 합법성을 확신하지 않는 한 복구 구문을 어떤 애플리케이션이나 웹사이트에 입력해서는 안 됩니다. 하드웨어 지갑 제조업체는 정품 애플리케이션이 일상작업을 위해 시드 구문을 절대 요구하지 않는다는 점을 꾸준히 강조합니다.
설치된 애플리케이션의 정기적인 보안 감사는 의심스러운 소프트웨어를 식별하는 데 도움이 됩니다. 사용자는 애플리케이션 권한, 네트워크 연결, 최근 설치된 프로그램이 만든 시스템 변경 사항을 검토해야 합니다.
운영 체제와 애플리케이션을 최신 상태로 유지하면 알려진 보안 취약점이 신속히 패치됩니다. 가능한 경우 자동 업데이트를 활성화하면 알려진 공격 벡터를 통한 악용 위험이 줄어듭니다.
업계 대응 및 미래 영향
암호화폐 보안 산업은 Atomic Stealer 위협에 대응하여 탐지 능력을 향상시키고 사용자 교육 이니셔티브를 추진하고 있습니다. 하드웨어 지갑 제조업체들은 애플리케이션 정품성을 확인하는 데 도움이 되는 추가 인증 메커니즘을 개발하고 있습니다.
보안 연구자들은 이 위협의 진화를 계속 모니터링하고 있으며, 새로운 변형이 정규적으로 나타나고 있습니다. 애플리케이션 모방 공격의 성공은 이와 유사한 기술이 암호화폐 애플리케이션 외의 고가치 타겟에도 적용될 수 있음을 시사합니다.
이 사건은 특히 상당한 암호화폐를 관리하는 사용자에게 빠르게 변화하는 사이버 보안 환경에서의 경계 유지의 중요성을 강조합니다. 디지털 자산이 점점 주류화됨에 따라, 이러한 자원을 목표로 삼는 정교한 공격도 계속적으로 증가할 가능성이 있습니다.
최종 생각
Atomic Stealer 멀웨어 캠페인은 암호화폐 사용자를 대상으로 한 위협의 중대한 발전을 나타내며, 사이버 범죄자들이 정품 애플리케이션에 대한 신뢰를 악용하기 위해 그들의 방식을 어떻게 적응시키고 있는지를 보여줍니다. Ledger Live의 정교한 모방은 암호화폐 생태계에서 향상된 보안 인식과 기술적 안전 장치의 필요성을 강조합니다.
사용자는 소프트웨어 소스, 시드 구문 관리, 일반적인 사이버 보안 실무에 대해 경계를 유지해야 하며, 디지털 자산을 보호하기 위해 보안 인식, 기술적 방어, 업계 협력이 결합된 대응책이 필수적입니다.