암호화폐 사용자 노린 줌 피싱 사기, 블록체인 보안 기업 슬로우미스트가 경고

블록체인 보안 기업 슬로우미스트(SlowMist)가 암호화폐 사용자를 대상으로 한 줌(Zoom) 피싱 사기를 밝혀냈다. 이 사기는 가짜 줌 미팅 링크를 사용해 악성 코드를 배포하고 피해자의 암호화폐 자산을 탈취하는 방식으로 이루어졌다.

해커들은 정교한 기술을 사용해 개인 키, 지갑 데이터 및 기타 민감한 정보를 탈취했으며, 이로 인해 피해자들은 상당한 재정적 손실을 입었다. 슬로우미스트는 12월 27일 발표를 통해, 해커들이 실제 줌 도메인을 모방한 "app[.]us4zoom[.]us"라는 피싱 도메인을 사용했다고 밝혔다.

이 피싱 사이트는 줌 인터페이스를 그대로 재현해 사용자를 속였으며, “미팅 시작” 버튼을 누르게 유도했다. 그러나 이 버튼은 줌 애플리케이션을 실행하지 않고 “ZoomApp_v.3.14.dmg”라는 악성 설치 파일을 다운로드했다. 설치가 완료되면 “ZoomApp.file”이라는 스크립트가 실행되어 사용자의 시스템 비밀번호를 입력하도록 요구했다.

악성 코드의 동작 원리

슬로우미스트가 분석한 결과, 해당 스크립트는 “.ZoomApp”이라는 숨겨진 실행 파일을 호출했다. 이 파일은 시스템 정보, 브라우저 쿠키, KeyChain 데이터 및 암호화폐 지갑 인증 정보를 포함한 데이터를 수집했다. 수집된 데이터는 IP 주소 141.98.9.20로 전송되었으며, 해당 IP는 다수의 보안 위협 인텔리전스 서비스에서 악성으로 분류되었다.

이 악성 코드는 트로이 목마로 확인되었으며, 정적 및 동적 분석 결과, 데이터 해독 및 플러그인 경로 열거, 피해자의 디바이스에 저장된 자격 증명 추출 기능을 수행할 수 있음이 드러났다. 이를 통해 공격자들은 지갑의 니모닉 구문과 개인 키를 확보하여 대규모 암호화폐 탈취를 실행했다.

또한, 해커들의 백엔드 시스템은 네덜란드에 위치해 있으며, Telegram API를 통해 사용자 상호작용을 추적했다. 러시아어 스크립트가 사용된 흔적도 발견되었다. 이번 피싱 캠페인은 2024년 11월 14일부터 시작되었으며, 이미 수백만 달러 상당의 암호화폐를 탈취하려는 시도가 이루어졌다.

이더리움 체인에서의 줌 스캠

슬로우미스트는 MistTrack이라는 자금세탁 방지 도구를 사용해 온체인에서의 자금 흐름을 추적했다. 한 해커의 주소에서 약 100만 달러의 수익이 발견되었으며, 암호화폐 USD0++와 MORPHO가 총 296 ETH로 변환되었다. 탈취된 자금은 Binance, Gate.io, Bybit, MEXC 등 여러 플랫폼으로 이체되었다.

또 다른 주소는 총 8,800개의 주소에 소량의 ETH를 전송해 거래 수수료를 지불하는 데 사용되었다. 탈취된 이더리움은 여러 지갑과 플랫폼 간의 이동 후 FixedFloat와 Binance 같은 거래소로 옮겨졌으며, 테더(USDT) 및 기타 암호화폐로 전환되었다.

• 페이스북 공유
• 트위터 공유