악성코드 캠페인, 메일링 리스트 해킹 후 가짜 시드 문구 유포. 피해자들은 암호화폐 지갑 탈취 당할 위험.
위협 분석가들이 암호화폐 업계 내외의 피해자를 겨냥한 정교한 이중 구조의 악성코드 캠페인을 발견했다. 사이버 인텔리전스 기업 Silent Push는 최근 보고서에서 Mailchimp 및 SendGrid와 같은 대량 이메일 제공업체 사용자를 표적으로 하는 PoisonSeed 악성코드 캠페인을 확인했다. 한 사례에서는 콘텐츠 제작자가 계정이 제한되었다는 사기 메시지를 받았고, 가짜이지만 ‘완벽하게 복제된’ 웹사이트를 통해 로그인 정보를 입력하도록 속았다. 이후 해커들은 메일링 리스트를 대량으로 다운로드했으며, Silent Push는 이 과정이 ‘매우 빠르고 자동화된 것 같다’고 설명했다.
다음 단계에서는 피해자들에게 Coinbase로 위장한 이메일이 전송되어 ‘자체 보관 지갑으로 전환 중’이라는 메시지와 함께 12단어 시드 문구를 제공한다. 피해자들이 이를 계정에 입력하면 악성 행위자들이 그들의 지갑에서 모든 암호화폐를 탈취할 수 있게 된다. 피해를 입은 Mailchimp 고객 중 한 명인 Microsoft 지역 디렉터 Troy Hunt은 ‘심한 시차 부적응과 피로’ 상태에서 이 피싱 이메일을 받아 취약해졌다고 말했다. 그는 로그인 정보를 입력한 직후 문제를 깨닫고 비밀번호를 변경했지만, 메일링 리스트는 이미 유출된 후였다.
Hunt은 ‘지금 다시 읽어보면 매우 잘 만들어진 피싱 메일이었다’며 ‘공포를 유발해 뉴스레터를 보낼 수 없을 것 같다는 생각을 했지만, 즉각적인 조치를 취하지 않으면 무슨 일이 일어날지 과장되게 표현하지는 않았다’고 설명했다. Silent Push는 PoisonSeed가 Scattered Spider 및 CryptoChameleon이라는 두 위협 행위자와는 별개라고 밝혔지만, 이들 캠페인도 유사한 피싱 도메인을 사용하고 과거 Coinbase 및 Ledger 사용자를 표적으로 한 바 있다. 이는 소비자뿐만 아니라 뉴스레터를 통해 대규모 청중을 보유한 콘텐츠 제작자들도 사회 공학적 사기에 경계해야 함을 보여준다.
