​
[그림 1] 윈도우 업데이트로 위장한 스팸 메일

사용자가 메일에 첨부된 .exe 파일을 윈도우 업데이트 파일로 생각하고 실행하면 .net framework로 제작된 악성 파일이 레지스트리를 변조하여 C&C 서버에서 추가로 악성코드를 다운로드한다. 이렇게 다운로드된 악성코드가 PC 내 비트코인이 저장되어 있는 경로를 찾아내 [그림 2]와 같이 비트코인 지갑을 C&C 서버를 통해 공격자에게 전달한다.
　

​
[그림 2] C&C 서버로 전송되는 비트코인 지갑

　

비트코인은 윈도우 PC에 저장될 때 일반적으로 ‘%appdata%\비트코인’ 폴더에 저장되기 때문에 공격자는 악성코드가 해당 경로를 찾도록 제작한 것이다.

V3 제품은 해당 악성코드를 아래와 같은 진단명으로 탐지하고 있다.

<V3 제품군 진단명>
- Trojan/Win32.Zusy
- Trojan/Win32.Agent

최근 ‘자산’으로서의 비트코인의 가치가 급등함에 따라 악성코드 제작자들도 비트코인을 직접적으로 탈취하기 위한 방법에 관심을 보이고 있다. 즉, 비트코인 및 관련 정보는 직접적인 금전적인 손실을 가져올 수 있다. 이번에 발견된 악성코드뿐만 아니라 비트코인 거래소 등으로 위장한 가짜 웹사이트를 이용한 피싱,비트코인 지갑 주소를 해커의 가짜 주소로 변경하는 공격 등 다양한 방법이 시도되고 있으므로 더욱 각별한 주의가 필요하다.
　

[출처 : 안랩((www.ahnlab.com)]