[뉴스 요약] 가짜 Windows 11 업데이트가 암호화폐 지갑 털고 있어

원문 기사 제목 : Fake Windows 11 update that can steal your data

가짜 windows 11 업데이트가 인터넷에 돌아다니고 있다고 합니다. 공격자는 실제 Windows 공식 웹사이트와 똑같이 만든 복제 피싱 사이트를 만들어두고 사용자들을 유혹하고 있다고 합니다.

 

피싱 사이트

딱 화면 가운데에 있는 DOWNLOAD NOW 버튼을 누르게끔 유도를 합니다. 많은 일반 사용자들이 Windows 11로 업데이트하려고 위 버튼을 눌렀다고 하네요.. 😥

 

위 버튼을 클릭하게 되면 사용자의 PC에 1.5MB 짜리 ZIP 파일을 다운로드하게 되는데, 악성코드 실행파일이 압축파일에 포함되어 있다고 합니다.

 

위 피싱 사이트의 도메인은 windows11-upgrade11.com 과 같은 형태였다고 합니다. 실제 microsoft 웹사이트의 URL주소를 모르는 컴퓨터를 잘 모르는 일반 사용자들은 쉽게 당할 수밖에 없을 것 같습니다.

 

실제 Windows 11 다운로드 사이트는 아래와 같이 생겼습니다.

https://www.microsoft.com/en-us/windows/get-windows-11?r=1 

Get Windows 11 for Your Compatible PC | Microsoft

실제 MS의 Windows 11 다운로드 사이트

확인해보니깐 이미지는 똑같지만, 문구가 다르고 다운로드버튼도 바로 나오지 않는 걸 확인할 수 있었습니다.

 

악성코드 이름은 Inno Stealer 라고 지었다는데요. 그 이유는 별거없이 Inno Setup Windows installer 라는 걸 사용해서 그렇다고 하네요.

 

악성 실행파일을 실행하게 되면 PN131.tmp 라는 임시파일을 만들고 또다른 임시파일은 3,078KB 용량의 데이터가 쓰여지며 PC를 감염시킨다고 합니다.

 

초기에는 Create Process Windows API 로 새로운 프로세스를 생성하고 총 4가지의 파일을 시스템에 심는다고 하네요.

 

처음 2개 파일은 Windows 명령어를 실행하며 레지스트리 보안을 비활성화시키고, Windows Defender 에 예외를 추가한다고 합니다. 심지어 몇몇 보안 프로그램을 강제로 언인스톨까지 한다고 하네요.. ㄷㄷ

 

그리고 나머지 파일들이 실질적으로 악성코드를 실행하게 되서, 희생자의 개인 컴퓨터의 개인정보를 탈취하기 위한 준비가 끝나는 셈입니다.

 

그리고 궁극적으로 이 Inno Stealer 라는 악성코드는 브라우저나 암호화폐 지갑을 노리며, 웹브라우저의 쿠키값이나 암호화폐 지갑에 저장되는 정보들을 빼돌린다고 하네요.

 

흥미로운 사실은 악성 코드 중에 최대한 사용자가 잘 시간인 밤이나 새벽 시간에 동작하도록 해놓은 코드가 발견되었다는데 정말 치밀하다는 생각이 듭니다.

 

이번 기사를 통해서 아직까지도 암호화폐 사고가 국제적으로 많이 일어나고 있다고 느껴지네요. 그래서 그런지 최근들어 블록체인 버그바운티도 점점 활성화되고 있다는데 관심을 가져볼만 합니다.

원본 링크

https://4i-mag.com/fake-windows-11-update-that-can-steal-your-data/

Fake Windows 11 update that can steal your data