Fake Tor Browser Has Been Spying, Stealing Bitcoin ‘For Years’
이미지=셔터스톡

 

검열이 어려운 다크웹 브라우저 토르(Tor Browser)의 짝퉁 버전이 발견됐다. IT 보안회사 이셋(ESET)에 따르면 짝퉁 토르 브라우저에는 이용자의 개인정보를 빼 오거나 비트코인을 훔쳐낼 수 있는 악성 코드가 심겼다.

이셋은 이용자가 토르 브라우저를 이용해 다크넷에서 결제하려 할 때 지갑 주소를 마지막에 바꿔치는 방식으로 해커들이 비트코인을 훔쳐 왔다며, 지금까지 피해 액수는 상대적으로 크지 않다고 설명했다.

이셋의 멀웨어 선임연구원 안톤 체레파노프는 2017년부터 지금까지 해커들이 이용해온 비트코인 지갑 주소 3개를 확인했다며, 이를 코인데스크에 공유했다.

“지갑의 거래 내역을 살펴보면 대체로 소규모 거래를 여러 차례 진행한 것으로 보인다. 거래 패턴을 분석한 결과, 이 지갑들이 조작된 토르 브라우저를 통해 비트코인을 빼돌리는 데 사용된 것으로 확인됐다.”

분석을 마무리한 시점에 지갑 3개에 든 비트코인은 총 4.8개였다. 현재 가치로 환산하면 약 4620만 원이다. 이셋은 다만 러시아의 결제 서비스인 키위(QIUI)용 지갑도 공격 대상이었던 만큼 해커들이 훔쳐 간 암호화폐는 이보다 더 많을 것으로 추정했다.

러시아어를 쓰는 이용자들이 해커들의 주된 공격 목표였다. 짝퉁 토르 브라우저를 만든 해커들은 암호화폐 포럼과 pastebin.com 같은 사이트를 통해 러시아어로 된 짝퉁 브라우저를 홍보했다.

“해커들은 특정 언어를 사용하는 이용자를 목표로 합법적으로 보이는 악성 웹사이트들을 퍼뜨리고 있다.” - 이셋

조작된 브라우저를 열고 다크웹에 접속하면 이용자들에게 이내 토르 브라우저 유효 기간이 만료됐다는 경고장이 온다. 이 경고도 가짜인데, 이용자들이 여기에 속아 넘어가 가짜 앱을 내려받겠다고 하면 문제의 웹사이트로 이동해 악성 코드가 담긴 멀웨어를 설치하게 된다.

멀웨어가 설치된 브라우저는 이용자의 웹사이트 방문 기록과 소비한 콘텐츠 등에 관한 모든 정보를 해커에게 전송한다. 해커들은 이 정보를 토대로 이용자들에게 가짜 정보를 보여줄 수도 있지만, 일단은 비트코인을 훔칠 목적으로 지갑 주소를 바꾸는 데만 멀웨어를 활용했다고 체레파노프는 말했다.

번역: 뉴스페퍼민트

제보, 보도자료는 contact@coindeskkorea.com
저작권자 © 코인데스크코리아 무단전재 및 재배포 금지