크립토 클리퍼 윈도우 공격 캠페인
보안 연구원들은 2026년 2월부터 활동해 온 정교한 윈도우 기반 암호화폐 클립보드 탈취 공격에 대한 세부 정보를 공개했습니다. 이 공격은 클립보드 모니터링 악성코드를 사용하며, 자체 전파 기능을 갖추고 있고, 토르(Tor) 익명 네트워크를 이용하여 통신 인프라를 숨깁니다.
기존 악성코드처럼 표준 설치 프로그램이나 공개적으로 노출된 명령 및 제어(C2) 서버에 의존하는 방식과 달리, 이 위협은 휴대용 Tor 클라이언트를 배포하고 모든 트래픽을 로컬 SOCKS5 프록시를 통해 라우팅합니다. 암호화폐 탈취, 데이터 유출, 원격 코드 실행 기능을 결합하여, 이 악성코드는 단순한 클리퍼(암호화폐 유출 프로그램)일 뿐만 아니라 가벼운 백도어 역할도 합니다.
목차
클리퍼 악성 소프트웨어 작동 방식
클리퍼(Clipper) 악성코드는 피해자의 클립보드 활동을 몰래 감시하고 메모리에 복사된 중요한 정보를 가로채도록 설계되었습니다. 이 악성코드의 주요 목적은 알려진 블록체인 형식과 관련된 지갑 주소를 식별하고 공격자가 제어하는 주소로 바꿔치기하여 암호화폐 거래를 조작하는 것입니다. 결과적으로, 정당한 수령인에게 전달되어야 할 자금이 피해자 모르게 다른 곳으로 전용될 수 있습니다.
이 캠페인은 Windows Script Host 및 ActiveX 기반 기능을 이용하여 내장된 Tor 프록시를 실행하고 숨겨진 서비스 C2 서버와 통신합니다. 이 악성 프로그램은 지속적인 클립보드 감시, 스크린샷 캡처, 암호화폐 관련 정보 탈취, 그리고 실시간으로 지갑 주소를 변경하는 기능을 수행합니다.
USB 기반 감염 사슬 및 웜 기능
이 공격은 이동식 USB 저장 장치를 통해 악성 Windows 바로가기(LNK) 파일을 배포하는 것으로 시작됩니다. 피해자가 이러한 바로가기 중 하나를 열면 웜 구성 요소가 활성화됩니다. 악성 프로그램은 먼저 시스템이 이미 감염되었는지 여부를 확인하고, 이전 감염이 감지되지 않은 경우에만 나머지 페이로드를 다운로드합니다.
LNK 페이로드는 연결된 USB 장치에서 DOC, XLSX, PDF 파일 등 일반적으로 사용되는 문서 형식을 적극적으로 검색합니다. 이러한 파일이 발견되면 해당 파일은 숨겨지고 동일한 이름을 가진 악성 바로가기 파일로 대체됩니다. 이러한 기만적인 기법은 사용자가 정상적인 문서처럼 보이는 파일을 열려고 시도하는 과정에서 자신도 모르게 악성 프로그램을 실행할 가능성을 높입니다.
최초 감염 이후, 웜은 감염되지 않은 다른 USB 장치로 감염을 확산시키는 역할을 합니다. 또한 웜과 스틸러 구성 요소 모두에 대해 예약된 작업을 생성하여 지속적인 활동을 유지합니다.
고급 회피 및 지속적인 명령 실행
클리퍼 구성 요소는 WScript와 ActiveXObject를 사용하여 운영 체제와 직접 상호 작용합니다. 탐지 가능성을 줄이기 위해 악성 프로그램은 활성 프로세스를 확인하고 작업 관리자가 실행 중인 경우 스스로 종료됩니다.
실행의 마지막 단계에서 이름이 변경된 Tor 바이너리가 숨겨진 창에서 실행됩니다. 그런 다음 악성 프로그램은 고유한 피해자 식별자를 생성하고 이를 원격 인프라에 등록합니다. 등록 후에는 지속적인 운영 루프에 진입하여 약 500밀리초마다 C2 서버에 명령을 요청하고 클립보드 내용을 모니터링합니다.
이 악성코드는 암호화폐 지갑 데이터, 시드 구문, 개인 키를 수집하는 것 외에도 스크린샷을 캡처하여 Tor 네트워크를 통해 전송합니다. C2 서버가 EVAL 명령으로 응답하면 공격자가 제공한 코드가 감염된 시스템에서 동적으로 실행되어 위협의 기능을 크게 확장합니다.
주요 지표 및 방어 권고 사항
보안팀은 정적인 악성코드 시그니처에만 의존하기보다는 행동 기반 탐지 기법에 집중하는 것이 좋습니다. 특히 PowerShell 기반의 화면 캡처 활동이나 WScript 또는 CScript와 같은 Windows 스크립팅 엔진을 사용하여 curl, cmd.exe, PowerShell 또는 기타 예상치 못한 실행 파일을 실행하는 비정상적인 사용 사례에 주의를 기울여야 합니다.
권장되는 방어 조치는 다음과 같습니다.
- 모든 이동식 미디어의 자동 실행 및 자동 재생 기능을 비활성화하고, 그룹 정책 개체(GPO)를 통해 USB 장치에서 LNK 파일 실행을 차단하며, wscript.exe 및 cscript.exe의 불필요한 사용을 제한합니다.
- 금융 또는 암호화폐 관련 작업을 처리하는 시스템에서 비정상적인 클립보드 활동, 무단 화면 캡처 행위 및 의심스러운 Tor 관련 네트워크 통신을 모니터링합니다.
이 위협이 특히 눈에 띄는 이유
이번 공격은 금전적 이득을 노리는 악성코드의 수법이 점점 더 정교해지고 있음을 보여줍니다. 공격자들은 USB 기반 웜 확산, 클립보드 탈취, Tor 난독화 통신, 스크린샷 유출, 원격 코드 실행 등을 하나의 툴킷으로 결합하여 암호화폐 자산을 탈취하고 감염된 시스템에 장기간 접근 권한을 유지할 수 있는 다재다능한 위협을 만들어냈습니다. 숨겨진 서비스 인프라를 사용하는 것은 탐지 및 제거 노력을 더욱 어렵게 만들어, 사전 예방적인 행동 모니터링이 중요한 방어 전략이 되도록 합니다.
