Microsoft가 Trojan:CryptoBandits로 탐지한 암호화폐 클리퍼. USB LNK 웜 자가 전파, 예약 작업 지속성, .onion 전용 Tor C2, 클립보드 지갑 치환을 MITRE ATT&CK 공식 매핑으로 해부한다.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
Microsoft가 Trojan:CryptoBandits로 탐지한 클리퍼가 USB로 스스로 퍼지며, 복사한 암호화폐 지갑 주소를 공격자 주소로 몰래 바꿔치기한다.
Microsoft 위협 인텔리전스가 2026년 6월 17일 공개한 이 캠페인은 2026년 2월부터 활동했으며, Trojan:Win32/CryptoBandits로 분류된다. 감염은 USB에 심긴 Windows 바로가기(LNK)에서 시작되는데, 웜은 USB 안의 DOC·XLSX·PDF를 숨기고 같은 이름의 가짜 LNK로 바꿔 사용자 자신의 문서를 미끼로 삼는다. 사용자가 문서인 줄 알고 열면 JScript 페이로드가 실행돼 자가 전파하고, 휴대용 Tor로 은닉 C2와 통신하며 클립보드의 지갑 주소를 바꿔치기한다.
아래는 Microsoft가 공식 매핑한 기법을 공격 순서로 재구성한 것이다.
주목할 지점은 두 가지다. 첫째, Microsoft가 공개한 IOC는 .onion 주소 10개가 전부다. 차단할 IP나 도메인이 없어 평판 기반 차단과 방화벽 egress 룰이 무력하고, Tor 트래픽 자체를 통제하지 않으면 C2는 그대로 유지된다.
둘째, 금전 탈취형 범용 클리퍼가 웜 자가 전파와 예약 작업 지속성, Tor 백도어를 한 몸에 결합해 단순 스틸러와 표적형 도구의 경계를 흐렸다. 스크린샷 수집(T1113)과 Tor 경유 유출(T1048.002)은 이 척추 위에 얹힌다.
CryptoBandits는 컴파일된 실행 파일이 아니라 Windows 내장 스크립트 호스트(JScript)로 동작해 정적 시그니처가 약하다. 결국 행위 기반 탐지가 사실상 유일한 포착점이고, 다행히 이 체인은 흔적을 남길 수밖에 없다. USB에 DOC·XLSX·PDF와 같은 이름의 LNK가 대량 생성되고 원본이 숨김 처리되면 웜 전파의 직접 신호다. 사용자가 문서를 연 직후 wscript.exe가 자식 프로세스를 띄우고 새 예약 작업이 등록되는 흐름은 정상 문서 열람에서는 나타나지 않는다. 네트워크에서는 localhost:9050 SOCKS5를 경유한 .onion 트래픽이 Tor 은닉 C2의 정황이며, 클립보드 API를 고빈도로 호출하는 프로세스는 클리퍼 특유의 신호다.
암호화폐 보유율이 높은 한국 사용자에게 직접적인 위협이다. 클리퍼는 송금 직전 클립보드에 담긴 지갑 주소만 조용히 바꾸기 때문에 화면을 봐도 알아채기 어렵고, USB 자가 전파 방식이라 PC방·공용 PC처럼 외부 저장장치가 자주 오가는 환경에서 번지기 쉽다. 인터넷이 차단된 폐쇄망에서도 USB만으로 전파된다는 점이 일반적인 다운로드형 악성코드와 다르다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.