마이크로소프트가 USB 메모리를 통한 암호화 데이터 전송을 가로채는 악성 프로그램을 발견했습니다. 작동 방식은 다음과 같습니다.

마이크로소프트 위협 인텔리전스는 6월 17일, 감염된 USB 드라이브를 통해 확산되고 암호화폐 이체를 은밀하게 가로채는 윈도우 악성코드 캠페인을 2026년 2월부터 추적해 왔다고 밝혔습니다.

Microsoft Defender Antivirus에서 Trojan:Win32/CryptoBandits로 탐지되는 이 악성 프로그램은 피해자의 클립보드를 약 500밀리초마다 감시하여 사용자가 붙여넣기 전에 복사된 지갑 주소를 공격자가 제어하는 주소로 바꿔치기합니다. 거래는 피해자의 화면에서는 정상적으로 완료되는 것처럼 보이지만, 자금은 전혀 다른 곳으로 이체됩니다.

감염 방식은 오래되었지만, 실행 과정은 일반적으로 단순한 악성 소프트웨어 유형에 비해 이례적으로 정교합니다.

이 공격은 감염된 컴퓨터에 깨끗한 USB 드라이브를 연결하면 시작됩니다. 웜은 드라이브에서 워드 문서, 엑셀 스프레드시트, PDF 파일과 같은 일반적인 파일을 검색한 후 원본 파일을 숨기고 동일한 이름과 아이콘을 사용하는 악성 바로가기 파일로 대체합니다.

나중에 해당 USB 드라이브를 다른 컴퓨터에 연결하고 피해자가 자신의 문서처럼 보이는 파일을 클릭하면, Windows 탐색기가 악성 .lnk 파일을 자동으로 처리하고 몇 초 만에 페이로드가 실행됩니다. 다운로드도 없고, 피싱 이메일도 없고, 의심스러운 링크도 없습니다. 그저 완전히 정상적으로 보이는 USB 드라이브일 뿐입니다.

새로운 기기에서 활성화되면 악성 프로그램은 두 가지 프로세스를 동시에 실행합니다. 먼저 클립보드에서 중요한 데이터를 감시하고, 다음으로 감염 확산 주기를 반복하기 위해 깨끗한 USB 드라이브를 기다립니다.

크립토밴디츠는 클립보드 데이터의 세 가지 특정 범주를 표적으로 삼으며, 각 범주를 이해하는 것은 자신의 위험 노출 정도를 평가하는 데 중요합니다.

• 시드 구문 및 개인 키. 어떤 이유로든, 심지어 잠깐이라도 지갑 시드 구문이나 개인 키를 복사하면 악성 프로그램이 이를 포착하여 Tor 네트워크를 통해 공격자의 서버로 유출합니다.

• 스크린샷. 이 악성 프로그램은 관련 클립보드 활동이 감지될 때마다 10초 간격으로 5개의 스크린샷을 찍어 공격자가 탈취된 내용을 확인할 수 있는 시각적 맥락을 확보합니다.

• 수신자 지갑 주소. 이것이 가장 위험한 기능입니다. 송금할 목적지 주소를 복사하면 악성코드가 사용자가 붙여넣기 전에 슬쩍 공격자가 제어하는 주소로 바꿔버립니다. 사용자는 자신의 주소를 보게 되고, 거래를 확인합니다. 그러면 돈은 공격자에게 흘러갑니다.

마이크로소프트의 분석에 따르면 해당 악성 프로그램은 Windows Script Host와 ActiveX 기반 로직을 사용하여 번들로 제공되는 Tor 프록시를 실행하고 숨겨진 서비스 명령 및 제어 서버와 통신합니다.

또한, 이 악성 프로그램은 지속성을 위해 예약된 작업을 설정하므로 재부팅 후에도 계속 실행되어 무기한으로 모니터링을 지속합니다. 공격자의 서버가 특정 명령을 반환하면 악성 프로그램은 런타임에 추가 코드를 실행할 수 있어 일반적인 지갑 탈취 도구를 뛰어넘는 기능을 수행할 수 있습니다.

이번 보안 분석에서 살펴본 바에 따르면, 일반적인 클립보드 탈취 악성코드는 수년 전부터 존재해 왔으며, 고정된 서버에 지속적인 인터넷 연결이 필요하기 때문에 비교적 탐지하기 쉽습니다. 하지만 CryptoBandits는 모든 통신을 Tor 네트워크를 통해 처리하여 명령 및 제어 인프라를 익명화하고 네트워크 기반 탐지를 훨씬 어렵게 만듭니다.

웜처럼 USB를 통해 확산되는 방식은 심각한 위협 요소입니다. 대부분의 최신 악성 소프트웨어는 피싱 이메일, 악성 광고 또는 손상된 다운로드를 통해 확산됩니다. 이동식 저장 매체를 통한 물리적 확산은 이메일 필터, 브라우저 보안 경고, 그리고 네트워크 기반 위협에 맞춰진 대부분의 엔드포인트 탐지 도구를 우회합니다. 보안 업체 NS3.AI는 2월부터 사용자들이 영향을 받고 있음을 확인했으며, 바이낸스는 마이크로소프트의 경고가 공개된 후 자사 사용자들에게 직접 전달했습니다.

마이크로소프트가 권장하는 완화 조치는 구체적이며, 이상 징후를 발견했는지 여부와 관계없이 즉시 시행할 가치가 있습니다.

• 거래에 사용하는 모든 Windows 컴퓨터에서 모든 이동식 미디어의 자동 실행 및 자동 재생 기능을 비활성화하십시오.

• 운영 체제에서 허용하는 경우 시스템 정책 수준에서 USB 드라이브의 .lnk 파일 실행을 차단하세요.

• 지갑 주소를 복사해서 붙여넣기 할 때는 항상 처음과 마지막 몇 자리가 예상한 주소와 일치하는지 시각적으로 확인해야 합니다.

• 시드 구문이나 개인 키를 클립보드에 복사하는 것은 절대 금물입니다. 직접 입력하거나 운영체제에 키를 노출하지 않는 하드웨어 지갑을 사용하십시오.

• 2월 이후 거래 기기에 익숙하지 않은 USB 드라이브를 사용한 적이 있다면 마이크로소프트 보안 블로그에 게시된 침해 지표를 통해 시스템을 점검하십시오.

주소 확인 습관은 이러한 공격에 대한 가장 중요한 방어 수단입니다. 악성코드는 피해자가 복사한 내용이 붙여넣은 내용과 정확히 일치한다고 믿는 것에 전적으로 의존합니다. 송금을 확정하기 전에 수취 주소의 처음 네 글자와 마지막 네 글자를 수동으로 확인하는 거래자는 시스템에 악성코드가 있는지 여부와 관계없이 이 공격을 막아낼 수 있습니다.

자금 지원을 받는 트레이더들은 손실 한도 , 포지션 규모, 시장 위험 에 대해 상당한 시간을 들여 고민합니다 . 크립토밴디츠 캠페인은 거래를 실행하는 컴퓨터 또한 위험 요소의 일부라는 사실을 상기시켜 줍니다.

클립보드 하이재킹은 거래 전략이 얼마나 체계적인지, 손절매나 일일 손실 한도를 존중하는지 여부와는 상관없이, 단순히 자금 이체를 기다렸다가 다른 곳으로 빼돌립니다. 올해 우리가 추적한 보안 사고들을 통해 관찰한 결과, 이러한 유형의 손실을 완전히 피한 트레이더들은 기술적으로 가장 숙련된 트레이더들이 아니었습니다.

그들은 기본적인 검증을 모든 거래에서 위험 관리 와 마찬가지로 필수적인 습관으로 여깁니다 . 모든 주소를 확인하고, 낯선 USB 드라이브는 모두 의심합니다. 확인하는 데 드는 비용은 단 몇 초에 불과하지만, 확인하지 않음으로써 발생하는 손실은 무한합니다.