ESET(이셋), Stantinko 봇넷이 암호화폐 채굴 모듈을 배포하는 것을 발견

사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(http://www.estc.co.kr)는 50만명에 달하는 Stantinko 봇넷의 범죄자들이 암호화폐 Monero의 채굴 모듈을 그들이 제어하는 컴퓨터에 배포하고 있음을 발견했다고 밝혔습니다.

 

최소 2012년 부터 활동하며 약 50만대의 컴퓨터를 제어하는 Stantinko 봇넷의 해커들은 주로 러시아, 우크라이나, 벨로루시 및 카자흐스탄의 사용자를 표적으로 삼고 있습니다. 그러나 이제 그들은 이를 새로운 비즈니스 모델로 확장했습니다.

 

이번 연구를 수행한 ESET 맬웨어 분석가인 Vladislav Hrčka 는, “수년 간 클릭 사기, 광고 삽입, 소셜 네트워크 사기 및 자격 증명 도용을 해온 Stantinko는 Monero를 채굴하기 시작했습니다. 그들은 2018년 8월부터 그들이 제어하는 컴퓨터에 암호화폐 채굴 모듈을 배포해 왔습니다.”라고 설명했습니다.

 

ESET 보안 제품이 Win{32,64}/CoinMiner.Stantinko 로 탐지하는 Stantinko의 암호화 모듈은 smr-stak 오픈소스 채굴 모듈의 변조된 버전입니다. 이 모듈의 가장 주목할만한 기능은 분석을 방해하고 탐지를 피하기 위해 난독화되는 방식입니다. Hrčka는, “소스 레벨 난독화를 무작위로 사용하고 Stantinko 의 운영자들이 새로운 피해자를 대상으로 하는 모듈을 컴파일하기 때문에 이 모듈의 각 샘플은 고유합니다.”라고 언급했습니다.

 

난독화 외에도 CoinMiner.Stantinko 는 몇 가지 흥미로운 트릭을 사용합니다.

이 모듈은 통신을 숨기기 위해 마이닝 풀과 직접 통신하지 않고 YouTube 비디오의 설명 텍스트에서 얻은

IP 주소의 프록시를 이용합니다.(최근 ESET 연구원이 분석한 뱅킹 맬웨어인 Casbaneiro 가 YouTube 비디오 설명에 데이터를 숨기는 것과 비슷한 기술입니다.)

 

Hrčka는, “이러한 악용 사례를 YouTube에 알렸으며 이 비디오가 포함된 모든 채널이 삭제되었습니다.”라고 했습니다.

CoinMiner.Stantinko는 피해자의 의심을 피하기 위해 PC 가 배터리 전원을 사용 모드이거나 작업 관리자가 감지되면 채굴 기능을 일시 중단합니다. 또한 다른 채굴 프로그램이 컴퓨터에서 실행 중인지 확인하여 일시적으로 중지시킵니다. CoinMiner.Stantinko는 또한 실행 중인 프로세스를 스캔하여 보안 소프트웨어를 감지합니다.

 

Hrčka는 “CoinMiner.Stantinko는 가장 위험한 맬웨어와는 거리가 있지만 컴퓨터가 범죄자들에게 돈을 버는 도구로 이용되는 것은 아주 짜증나는 일입니다. 더 놀라운 것은 Stantinko가 언제든지 피해자의 컴퓨터에 다른 맬웨어를 심을 수 있다는 사실입니다.”라고 경고했습니다.

 

ESET 연구원들은 이러한 위협으로부터 사용자를 안전하게 보호하기 위해 기본 보안 방식을 고수하고 평판이 좋은 보안 솔루션을 사용할 것을 권장합니다.

 

자세한 내용은 WeLiveSecurity의 Stantinko 봇넷, 범죄활동 풀에 암호화폐 채굴 기능 추가 블로그 게시물을 참조하십시오.

 

• 데이터넷 : “50만여대 컴퓨터서 ‘모네로’ 불법 채굴 봇넷 발견”
• 파이낸셜신문 : 이셋 “Stantinko 봇넷, 암호화폐 채굴 모듈 배포”…평판 좋은 보안제품 사용 권장
• 데일리시큐 : 스탄틴코 봇넷, 암호화폐 채굴 모듈을 50만대 좀비 PC에 배포해
• 보안뉴스 : Stantinko 봇넷, 암호화폐 채굴 모듈 배포해 ‘모네로’ 채굴했다
• IT조선 : 이셋, 암호화폐 불법 채굴하는 '스탄틴코 봇넷' 발견