가짜 PDF 변환 프로그램으로 암호화폐 지갑 노린다. 멀웨어로 시드 문구 탈취, 자산 유출 가능. 주의 필요.
새로운 멀웨어 캠페인이 가짜 PDF에서 DOCX로 변환하는 프로그램을 통해 악성 PowerShell 명령을 실행하도록 유도하고 있습니다. 피해자는 PowerShell 명령을 실행하도록 속아 SectopRAT 변종인 Arechclient2 멀웨어를 설치하게 됩니다. 이 멀웨어는 시드 문구를 훔치고 Web3 API를 활용하여 자산을 탈취할 수 있습니다. 최근 FBI의 경고 이후 CloudSEK 보안 연구팀이 이 공격에 대한 조사를 수행했습니다.
공격자는 합법적인 파일 변환 사이트인 PDFCandy를 사칭하며, 실제 소프트웨어 대신 멀웨어를 다운로드하도록 유도합니다. 사이트는 로딩 바와 CAPTCHA 검증을 포함해 사용자의 경계를 늦추고, 최종적으로 ‘adobe.zip’ 파일을 다운로드하게 해 2019년부터 활동한 원격 접근 트로이 목마(RAT)에 노출시킵니다. 이는 브라우저 자격 증명 및 암호화폐 지갑 정보를 포함한 데이터 유출로 이어집니다.
Hacken의 Dapp Audit 기술 리더 Stephen Ajayi는 ‘이 멀웨어는 확장 프로그램 저장소를 확인하고, 시드 문구를 훔치며, Web3 API를 통해 승인 후 자산을 탈취할 수 있다’고 설명했습니다. CloudSEK은 안티바이러스 및 안티멀웨어 사용, 파일 확장자 외 검증, 공식 사이트의 신뢰할 수 있는 변환 도구 사용을 권장했습니다. Ajayi는 ‘보안에서는 기본적으로 아무것도 안전하지 않다고 가정하고, 제로 트러스트 마인드셋을 적용해야 한다’고 강조했습니다.
