[Xangle Digest]

※해당 컨텐츠는 외부에서 기발간 된 컨텐츠입니다. 컨텐츠에 대한 추가적인 주의사항은 본문 하단에서 확인해주세요.

목차

들어가며
사회 공학 측면에서의 피싱 방법
악성코드 분석
기술적 분석
캡처된 악성 샘플
결론

들어가며

탈중앙화된 Web3 환경에서는, 피싱 소프트웨어가 개인 키나 니모닉 문구를 직접 획득함으로써, 전통적인 Web2 애플리케이션에 비해 사용자의 자산을 더 쉽게 장악하는 경우가 많습니다.

우리는 Web3 생태계 내에서 새롭게 등장한 활발한 피싱을 발견했습니다. 이 방법은 피싱 사이트의 홍보와 신뢰성을 높이기 위해 거래소나 마켓플레이스와 같은 사용자들이 신뢰할만 한 플랫폼에 피싱 트랩을 전략적으로 배치합니다. 이러한 함정들은 사기성 Web3 프로젝트 채용 광고, 매력적인 에어드랍, 가짜 프로젝트 사이트에서 조작된 NFT 판매 등 다양한 형태를 띠게 됩니다.

이 전략은 사용자들이 이런 영향력 있는 플랫폼의 공식 웹사이트에서 피싱 사이트로 이동하도록 유도하는 것을 포함하고 있습니다. 공격자들은 거래소와 마켓플레이스에서 실행하는 검사를 우회하여, 피싱 트랩 링크와 부정한 NFT 아이템을 Web3 사용자들이 더 신뢰하는 위치에 배치함으로써, 사용자의 경계 수준을 낮춥니다. 결과적으로, 이런 피싱 트랩에 빠진 개인들은 악의적인 소프트웨어를 무의식적으로 다운로드하게 되어, 사용자의 인증 정보가 침해되고 가상자산이 공격자로 의해 손실되게 됩니다.

사회 공학 측면에서의 피싱 방법 

전통적인 접근법

피싱 팀은 자신들을 Web3 기반의 게임 개발 팀처럼 가장하며, YouTube, X, Telegram 등의 일반적인 Web3 소셜 채널들을 활용하여 사용자들이 게임의 공식 웹사이트(사실은 피싱 사이트)를 방문하도록 유도합니다. 사용자들은 게임 클라이언트(사실은 악성 프로그램)를 다운로드하도록 권장받게 됩니다. 사용자가 이 악성 프로그램을 다운로드하고 실행하면, 그들의 컴퓨터에 저장된 지갑 키가 도난당하게 됩니다.

더욱이, 이 팀은 신뢰도를 높이기 위해 가짜 채용 공고를 게시하는 등의 조치에까지 나섰습니다. 심지어 채용 공고를 통해서도 계속해서 사용자들을 피싱 사이트로 유도하고 악성 프로그램을 다운로드하도록 시도합니다.

Web3 피싱 트랩 - Web3 특성을 가진 새로운 접근법

Web3 게임과 연관된 다양한 NFT 아이템을 제공하는 일반적인 방식처럼, 이 팀도 NFT 아이템을 공개하는 채널을 통해 여러 NFT 컬렉션을 출시합니다. 이들은 주요 거래 플랫폼을 이용하여 사용자들을 피싱 사이트로 유도하고 악성 클라이언트를 다운로드하도록 권장하고 있습니다.

예를 들어,  'Astration'이라는 NFT 키워드를 OpenSea에서 검색하면, 관련된 NFT 컬렉션을 찾을 수 있습니다. 이 컬렉션에서 제공하는 공식 웹사이트 주소는 사용자들을 피싱 사이트로 유도합니다. 사용자들이 공식 웹사이트를 방문하고 게임 클라이언트를 다운로드하면, 그들의 개인 키가 무의식적으로 도난당하게 됩니다.

아래 이미지와 같이, 사용자들은 Coinbase의 공식 웹사이트에 있는 NFT 카테고리에서도 이 NFT를 찾아볼 수 있습니다.

사용자가 악성 프로그램을 실행한 후에는, 사용자가 악성 소프트웨어를 다운로드하고 실행하는 채널에 관계없이, 그들의 지갑 키가 도난당해 금전적 손실을 입게 됩니다.

기술적인 세부 사항에 대해 더욱 깊게 이해하고 싶은 독자들은 '악성코드 분석'이라는 다음 섹션을 참조하여 보다 포괄적인 이해를 얻을 수 있습니다.

악성코드 분석

우리는 여러 샘플을 확보했고, 이 중 한 가지 샘플에 대해 그 행동과 그것이 타겟으로 삼는 정보에 대한 간략한 분석을 진행할 것입니다. 또한, 다른 샘플들 간의 미세한 차이점을 강조하며, 지속적인 관찰을 통해 이 악성 소프트웨어를 운영하는 팀이 지속적으로 그것을 업데이트하여 안티바이러스 소프트웨어의 탐지를 회피하고 있다는 사실을 명확히 드러낼 것입니다.

기본 정보

기술적 분석

개요 다이어그램

대체적으로, 이 악성 소프트웨어의 중심적인 행동은 세 가지 주요 구성 요소로 분류될 수 있습니다: 속임수로 비밀번호 획득, 민감한 정보 읽기, 그리고 데이터 압축 및 전송. 이 악성 소프트웨어가 사용하는 기술적 방법은 과도하게 복잡하지는 않지만, 일반적으로 다이어그램에 그려진 것처럼 표현됩니다. 이어서, 각 단계의 분석을 더 자세히 살펴보겠습니다.

속임수로 비밀번호 획득

설치 프로그램을 두번 클릭하면 팝업 창이 나타나 사용자들을 속여 비밀번호를 제공하도록 만듭니다.

리버스 엔지니어링 분석을 통해 확인된 바에 따르면, 이 창은 osascript를 사용하여 구현되며 사용자가 입력한 자격 증명을 기록합니다.

민감한 정보 읽기

Firefox는 특정 처리를 구현하였고, 코드 내의 고유한 문자열을 통해 접근된 파일을 식별할 수 있습니다.

아래 코드는 민감한 정보가 도난당할 위험이 있는 다른 타겟 브라우저와 지갑을 나열하고 있습니다.

여기서는 코드에 대해 깊게 다루지는 않겠지만, 핵심적인 로직은 수집된 경로를 바탕으로 다양한 지갑에 대한 민감한 데이터 파일에 접근하는 것에 중점을 두고 있습니다. 이 과정은 해당 파일들의 내용을 읽고, 이후에 압축 및 전송을 위해 준비하는 것을 포함하고 있습니다.

데이터 압축 및 전송

서버로 전송하기 위한 준비 과정으로 추출된 민감한 정보를 압축합니다.

압축 파일을 준비한 후에는 HTTP 요청을 통해 그것을 서버로 다시 전송합니다.

서버 주소는 base64 인코딩을 이용해 숨겨져 있습니다. 간단한 base64 디코딩을 통해, 우리는 서버의 실제 IP 주소를 확인할 수 있습니다. 그 주소는 5.42.65.55입니다. 

아래의 코드 스니펫은 HTTP 요청 문자열을 구성하는 과정을 보여줍니다.

최종 사용자의 민감한 데이터는 'sendlog'라는 POST 요청의 페이로드로 원격 서버로 전송됩니다.

캡처된 악성 샘플

VirusTotal 정보

VirusTotal의 분석 데이터는 이 샘플의 영향력과 다양한 안티바이러스 소프트웨어 업체들이 얼마나 이를 인지하고 있는지에 대한 중요한 인사이트를 제공합니다. 우리가 캡처한 세 가지 악성 샘플 중 두 개는 VirusTotal에서 탐지될 수 있습니다. 특히, 그 중 하나는 이 글을 작성하기 직전에 분석을 위해 제출되었습니다.

샘플들의 차이점

이 세 가지 샘플은 각각 사용된 프로그래밍 언어, HTTP 요청의 구조, 그리고 데이터 전송에 활용된 IP 주소 등에서 서로 다른 특징을 보입니다.

결론

최종적으로, Web3 거래소들은 제품 배경 조사 강화와 함께, 제품 등록 과정에서 더욱 철저한 위험 경고를 통해 자신들의 플랫폼을 보다 견고하게 구축해야 합니다. Web3 생태계의 변화무쌍한 특성은, 등록된 제품들과 관련된 잠재적인 위험을 최소화하기 위한 적극적인 대응 전략이 필수적임을 시사합니다.

또한, 사용자들의 보안 인식 강화는 무엇보다 중요합니다. Web3 분야가 지속적으로 성장함에 따라, 사용자들은 자신들의 보호에 있어 핵심적인 역할을 수행하게 됩니다. 거래소로부터 제공되는 정보에 대한 경계심을 높이고 신중한 접근을 유지하는 것이 신종 위협에 대한 효과적인 방어의 핵심입니다. 이런 거래소와 사용자 간의 협력적 노력은 보다 안전한 Web3 환경 구축의 기반을 마련합니다. 제품에 대한 철저한 심사 강화와 사용자 인식의 향상을 통해, Web3 분야는 잠재적 위험과 악의적 행위에 대한 저항력을 높이며 성장할 수 있습니다. 

우리가 Web3의 복잡한 영역을 탐험함에 있어, 이는 사용자를 지원하고, 탈중앙화 미래의 지속 가능성과 발전을 보장하는 안전하고 신뢰할 수 있는 생태계 구축에 대한 확고한 행동의 촉구로 여겨질 수 있습니다.

-> '신뢰받는 플랫폼에서의 피싱 트랩: Web3 세계의 새로운 피싱 트렌드' 원문 보러가기