텔레그램의 맬웨어가 모네로 및 기타 암호화폐를 채굴하기 위해 해당 어플을 구현하는 컴퓨터를 활용하고 있다고 한다.

 

블리핑컴퓨터(BleepingComputer)는 인기 있고 안전한 메시지 서비스인 텔레그램이 멜워어를 퍼뜨리는 데 사용되어 모네로, 지캐시 및 팬텀코인(Fantomcoin)을 채굴하였다고 보고 했다. 그러나 몇몇 사례에서는 백 도어 트로이 목마 바이러스 및 기타 스카이웨어 도구도 다운로드 한 것으로 보인다고 밝혔다. 해커들은 2017년 10월 처음으로 발견 된 제로-데이 취약점을 몇 달간 사용했지만, 카스퍼스키(Kaspersky) 연구원인 알렉세이 필시(Alexey Firsh)에 의해 수정될 수 있었다. 이 최근의 뉴스는 경계에 대한 필요성을 강조하며 특히 그 소스가 불분명한 것을 다운로드 하는데 언제나 회의적 자세를 취하도록 경고하고 있다.

 

맬웨어가 사용자를 속임으로써 확산되다

 

2013년 F-Secure 보고서에서 블리핑컴퓨터가 밝힌 바와 같이, 맬웨어의 모든 공격이 ‘혁신적’인 것은 아니며, 많은 경우에 오래된 트릭을 사용한다고 한다. “오래된 술수죠…… 알려진 지 5년도 더 되었습니다.” 필시는 “오직 러시아의 사이버 범죄가 이러한 취약성을 알고 있었고, 우리가 발견한 모든 취약점 공격 사례는 러시아에서 발생했다”고 이야기했다. 그는 또한 “얼마나 오래, 또는 텔레그램 제품의 어떤 버전이 이러한 취약성에 의해 영향을 받아왔는지는 밝혀진 바가 없다”고 전했다. 그러나 “윈도우 클라이언트에서의 악용은 2017년 3월에 시작되었다는 것은 확실하다”고 덧붙였다. 밝혀진 취약점은 고쳐졌을 것으로 보이지만, 감염된 컴퓨터들이 여전히 이 멜웨어를 가지고 작동하고 있을 수도 있다.

 

해당 맬웨어는 텔레그램의 윈도우용 오른쪽 텍스트 읽기 소프트웨어(RLO) 유니코드 문자를 이용하였다. 이 트릭을 통해 프로그램의 실제 확장을 숨기는 데 사용할 수 있었다. 여기에 사용된 한 가지 트릭을 예로 들면, *U+202E* RLO 유니코드 문자가 있는 곳에서 “photo_high_re*U+202E*gnp.js”라는 이름의 악의적인 자바스크립트 맬웨어 프로그램은 “photo_high_resj.png”로 표시되게 되는 것이다. 이처럼 무해한 것으로 보이는 .png 이미지 파일을 빠르게 훑어 보고 빠른 클릭 다운로드를 하게 되면, 사용자가 알아차렸을 쯤에 그들의 컴퓨터는 이미 감염되게 된다.

 

강력한 커뮤니티의 자금과 지원 및 ASIC 요소의 중요성

 

암호화폐는 신생 분야로 최근에 가격 폭등을 경험했으며, 기술과 통합해야만 하는 내제적 특성에 따라 정직한 노력 없이 코인을 획득하려는 범죄자와 해커가 가장 선호하는 전리품이 되었다. 사이버 공간과 개발자는 정직한 행위자를 공격할 수 있는 취약성에 대해 철저한 조사를 하고 있다. 이러한 공격으로부터 안전한 환경을 조성하기 위해 대시는 버그크라우드(Bugcrowd)와의 파트너십을 통해 대시 코드베이스의 버그에 대한 현상금 제도를 마련했다. 버그는 암호화폐의 핵심 코드뿐만 아니라 이번 사례에서 볼 수 있듯이 텔레그램을 포함하여 어디에서든지 발생할 수 있지만, 자금을 지원 받는 커뮤니티가 능동적으로 버그를 찾아 수정하는 것은 안전한 커뮤니티를 유지하는 데 큰 도움이 된다. 대시 고유의 버그 현상금 프로그램은 커뮤니티 자체 자금 지원이 대시 지갑과 같이 대시와 연관된 소프트웨어에서 이러한 이슈 해결을 가능하게 해준다는 것을 분명하게 보여주며, 이로써 대시 생태계 전체에 높은 수준의 기준을 설정한다.

 

또한 ASIC과 같은 채굴 하드웨어가 없다는 점에서 봇네트 채굴 공격의 수익성이 더욱 높아지고, 그 결과 이러한 블록체인에서 더욱 널리 퍼지게 되어 잠재적으로 네트워크 해시율의 상당 부분이 추적되어 악의적인 행위자에게 돌아가게 된다. 그러나 산업화된 채굴 보안이 이와 같은 일정 수준의 악의적 접근으로부터 안전한 한편, 일부 서비스의 해시 파워를 중앙화할 위험 역시 존재한다.