출처: 토큰포스트
암호화폐 사기꾼들이 새로운 방법으로 사용자를 속이고 있으며, 그들의 최신 무기는 Zoom 화상 회의 플랫폼과 거의 동일하게 보이는 악성 링크로, 클릭 시 멀웨어 설치를 유도한다.
23일(현지시간) 코인텔레그래프에 따르면 비대체 토큰(NFT) 수집가이자 사이버 보안 엔지니어인 “NFT_Dreww”는 X 사용자들에게 Zoom의 가짜 링크를 이용한 ‘매우 정교한’ 암호화폐 사기 수법에 대해 경고했다. Drew는 이 방법으로 사기꾼들이 이미 30만 달러 상당의 암호화폐를 탈취했다고 전했다.
사기 수법의 작동 원리
많은 사회 공학적 사기와 마찬가지로, Drew는 사기꾼들이 주로 NFT 보유자나 암호화폐 고래를 대상으로 지적 재산권 라이선스에 관심이 있는지 묻거나, Twitter Spaces에 초대하거나, 새로운 프로젝트 팀에 합류할 것을 요청한다고 설명했다.
사기꾼들은 Zoom을 사용해야 한다고 주장하며, 사용자가 현재 진행 중인 회의에 참여하도록 서둘러 유도한다. 이때 잘 보이지 않는 악성 링크를 사용한다.
“이것은 매우 쉽게 속을 수 있습니다… 특히 Zoom 링크의 경우, 80% 이상의 사람들이 링크에 있는 각 문자를 확인하지 않을 것이라 의심됩니다.”
멀웨어 설치와 정보 탈취
링크를 클릭하면 사용자는 무한 로딩 화면을 보여주는 ‘멈춤’ 페이지를 만나게 된다. 그런 다음 페이지는 ZoomInstallerFull.exe를 다운로드하고 설치하라는 메시지를 표시하는데, 이는 실제로 멀웨어이다. 설치가 완료되면 페이지는 공식 Zoom 플랫폼으로 리디렉션되어 사용자는 제대로 작동했다고 믿게 된다. 그러나 이때까지 멀웨어는 이미 대상 컴퓨터에 침투하여 데이터를 탈취하게 된다.
기술 전문가 “Cipher0091″에 따르면, 멀웨어가 처음 실행될 때 Windows Defender 제외 목록에 자신을 추가하여 안티바이러스 시스템이 이를 차단하지 못하게 한다.
“그런 다음 소프트웨어가 ‘로딩 중’ 페이지로 사용자를 분산시키고 T&C 수락 과정 등을 진행하는 동안 모든 정보를 실행하고 추출하기 시작합니다,”라고 Drew는 설명했다. 사기꾼들은 도메인 이름을 계속 변경하여 플래그가 표시되지 않도록 하고 있으며, 이는 이 사기를 위해 사용된 다섯 번째 도메인이라고 덧붙였다.
진화하는 사회 공학적 암호화폐 사기
사회 공학적 암호화폐 사기는 새로운 것이 아니지만 계속해서 진화하고 있다. 여러 암호화폐 커뮤니티 회원들이 이번 주에 다른 암호화폐 인플루언서와 임원을 사칭한 사기꾼들로부터 악성 이메일을 받았다고 보고했다. 이메일에는 실행 시 암호화폐를 탈취하는 멀웨어를 설치할 가능성이 있는 악성 첨부 파일이 포함되어 있다.