Wallet Drainer Malware란 무엇이며 어떻게 작동하나요?

정의 및 핵심 메커니즘

1. 월렛 드레이너 악성코드는 암호화폐 지갑 인터페이스, 개인 키 입력, 웹 브라우저 및 데스크톱 애플리케이션 내의 세션 토큰을 표적으로 삼도록 특별히 설계된 크라임웨어의 특수 클래스입니다.

2. 손상된 웹사이트나 브라우저 확장 프로그램에 악성 JavaScript를 주입하여 작동하며 지갑 주소와 관련된 복사-붙여넣기 작업 중에 클립보드 내용을 실시간으로 가로챌 수 있습니다.

3. 악성코드는 알려진 지갑 도메인 패턴(예: Metamask.io, phantom.app 또는 trustwallet.com)에 대해 활성 브라우저 탭을 모니터링하고 해당 도메인이 감지되는 경우에만 페이로드 실행을 트리거합니다.

4. 일단 활성화되면 합법적인 지갑 UI를 모방하는 가짜 거래 확인 모드를 오버레이하여 시각적인 변조 표시 없이 공격자가 제어하는 ​​주소로의 전송을 승인하도록 사용자를 속입니다.

5. 일반 트로이 목마와 달리 지갑 드레이너는 호스트 시스템에 지속되지 않습니다. 완전히 메모리 내에서 실행되고 브라우저를 닫으면 사라지므로 포렌식 흔적이 최소화됩니다.

암호화폐 생태계의 감염 벡터

1. 손상된 npm 패키지는 전달 메커니즘 역할을 하는 경우가 많습니다. 개발자는 빌드 프로세스에 연결되고 드레이너 스크립트를 프로덕션 프런트엔드 번들에 삽입하는 악성 종속성을 무의식적으로 설치합니다.

2. 비공식 Chrome 웹 스토어 미러 또는 텔레그램 채널을 통해 배포되는 가짜 지갑 브라우저 확장 프로그램에는 웹 페이지에 MetaMask 삽입이 감지된 후에만 활성화되는 난독화된 코드가 포함되어 있습니다.

3. 스푸핑된 Uniswap 또는 PancakeSwap 랜딩 페이지와 같이 분산 교환(DEX) 인터페이스를 가장하는 피싱 사이트는 기능적인 UI 요소를 렌더링하기 전에 드레이너 로직을 로드합니다.

4. "스마트 계약 감사 도구" 또는 "가스 최적화 유틸리티"라고 표시된 악성 GitHub 저장소는 사용자에게 "분석"을 위해 지갑을 연결하라는 메시지를 표시한 다음 즉시 무단 전송을 시작합니다.

5. 사용자가 해킹된 암호화폐 뉴스 포털이나 삽입된 iframe이 방탄 호스팅 제공업체의 원격 드레이너 페이로드를 로드하는 포럼 스레드를 방문할 때 드라이브 바이 다운로드가 발생합니다.

실행 중 기술적 행동

1. 악성코드는 ethereum.request() API 호출을 하이재킹하여 모든 거래 요청이 사용자의 지갑 확장 프로그램에 도달하기 전에 가로채고 대상 주소를 공격자가 제어하는 ​​주소로 대체합니다.

2. 표시 속성을 없음으로 설정하여 원래 지갑 팝업을 억제하도록 DOM을 수정하는 동시에 동일하게 보이지만 다른 곳에서 승인을 라우팅하는 복제된 UI 요소를 렌더링합니다.

3. 클립보드 모니터링은 document.addEventListener('copy', ...) 를 통해 구현되어 복사된 모든 문자열을 캡처하고 실시간으로 Ethereum 또는 Solana 주소를 공격자가 소유한 등가물로 대체합니다.

4. 세션 토큰 도난은 지갑 연결 상태가 포함된 브라우저-로컬 저장소 항목을 표적으로 삼아 공격자가 재승인 없이 여러 dApp에서 인증된 세션을 재사용할 수 있도록 합니다.

5. 일부 변종은 Tor 숨겨진 서비스에서 호스팅되는 명령 및 제어 서버에 WebSocket 연결을 배포하고 세션 중에 동적 주소 목록과 구성 업데이트를 수신합니다.

방어적 대응

1. 공식 스토어 외부에 브라우저 확장 프로그램을 설치하지 마십시오. '사이트 데이터 읽기 및 변경'과 같은 권한을 부여하기 전에 게시자 이름, 리뷰 수, 업데이트 빈도를 확인하세요.

2. 도메인 전체에 걸쳐 지속적인 액세스를 허용하는 대신 지갑 확장의 자동 연결 기능을 비활성화하고 각 dApp 연결을 수동으로 승인합니다.

3. 화면 기반 거래 확인 기능이 있는 하드웨어 지갑을 사용하세요. 악성 코드는 장치 디스플레이에 물리적으로 표시되는 내용을 변경할 수 없습니다.

4. 서명 직후 Etherscan 또는 Solscan과 같은 블록체인 탐색기를 사용하여 나가는 트랜잭션을 모니터링하고 블록 확인 전에 수신자 주소와 값을 모두 확인합니다.

5. Firefox 다중 계정 컨테이너와 같은 브라우저 샌드박싱 도구를 사용하여 지갑 상호 작용을 일반적인 탐색 활동과 분리합니다.

자주 묻는 질문

Q: 지갑 드레이너 악성코드가 모바일 지갑에 영향을 미칠 수 있나요? 예. 지갑 업데이트 프로그램이나 블록체인 탐색기로 가장하는 Android APK가 오래된 OS 버전을 실행하는 기기에서 거래 확인을 가로채기 위해 오버레이 권한을 설치하는 것이 관찰되었습니다.

Q: VPN을 사용하면 지갑 유출 공격을 예방할 수 있나요? 아니요. 지갑 드레이너는 브라우저 또는 확장 환경 내부의 애플리케이션 계층에서 작동합니다. VPN이 제공하는 네트워크 수준 암호화는 DOM 조작이나 클립보드 후크를 방해하지 않습니다.

Q: 오픈 소스 지갑 프로젝트는 드레이너 통합에 영향을 받지 않나요? 아니요. 나중에 감사를 받은 여러 GitHub 리포지토리에 소스 코드 가시성을 변경하지 않고 자동화된 빌드 중에 드레이너 로직을 삽입하는 손상된 CI/CD 파이프라인이 포함된 것으로 밝혀졌습니다.

Q: 바이러스 백신 소프트웨어가 지갑 드레이너 스크립트를 감지할 수 있습니까? 드물게. 대부분의 드레이너는 휴리스틱 분석 엔진을 회피하는 다형성 난독화, 도메인 생성 알고리즘 및 제로 데이 공격 기술을 사용하여 서명 기반 탐지를 피합니다.