|
Lightshot의 스크린샷을 악용한 암호화폐 스캠 침해사고분석팀 2021.04.13 |
|
|
암호 화폐 스캠이 날이 갈수록 탄력을 받고있다. 공격자는 가짜 거래소에서 존재하지 않는 코인을 제공하고, 가짜 뉴스 사이트에서 큰 행운으로 돈을 얻은 사람에 대한 이야기를 한다. 또한 에어드롭로 위장하여 Discord 사용자를 속이기도 한다. 이러한 공격에 이어 호기심이 많은 암호 투자자로부터 돈을 얻기 위해 Lightshot의 화면 공유 도구를 악용하고 있다.
Lightshot은 스크린 샷을 만들고, 커스터마이징하고, 빠르게 보내기 위한 도구이다. Lightshot은 Windows, macOS, Ubuntu의 앱과 prnt.sc 클라우드 포털로 구성되며 사용자가 스크린 샷을 빠르고 쉽게 공유 할 수 있다. 클릭 혹은 바로 가기로 이미지를 클라우드로 보내면 이미지의 공유를 위한 URL을 반환한다. 반환된 URL을 통해 누구나 인증없이 게시 된 스크린 샷을 볼 수 있다. Lightshot 계정도 필요하지 않다. 이는 서비스를 빠르고 편리하게 만들지만 안전하지는 않다.
또한 정확한 링크가 없어도 임의의 스크린 샷을 볼 수 있는데, 이는 URL은 순차적으로 구성되어 있기 때문이다. 예를 들어, URL에서 하나의 문자를 다음 문자로 순서대로 바꾸면 다른 이미지를 열 수 있다. 무차별 대입 URL을 위한 간단한 스크립트를 작성해 여기에서 콘텐츠를 다운로드한다면 이 프로세스를 자동화 할 수도 있다.
사실 Lightshot 서비스는 업로드 된 모든 이미지가 공개임을 사용자에게 경고하기 때문에 Lightshot의 개방성은 버그가 아니다. 그러나 Lightshot을 통한 귀중한 정보의 유출이 정기적으로 이슈가 되는 것을 감안할 때 사용자가 이 개방 정책을 인지하지 못하고 있는 경우가 많은 것으로 보인다.
때로 공격자들은 Lightshot에 의도적으로 스크린 샷을 공개하여 사이버 범죄에 사용하기도 한다. 예를 들어, 암호화폐 지갑의 암호 복구 이메일과 관련된 시나리오를 볼 수 있다.
[그림1. 가짜 암호화폐 지갑 계정에 대한 패스워드 재설정 이메일 ]
사용자가 Lightshot에 있는 암호화폐 지갑 복구 이메일 관련 스크린 샷에 있는 URL로 이동하면 암호 화폐 거래소로 위장한 웹 사이트로 접속하게 된다. 자신의 로그인 정보를 입력하면 0.8BTC (게시 시점에 $ 45,000 이상)와 같이 많은 양의 암호 화폐를 보유한 것처럼 보이는 가짜 계정으로 연결된다. 그리고 계좌 내에서 피해자가 자금을 인출하고 자신의 계좌로 이체를 시도 할 수 있다.
이 경우 거래소는 작은 수수료를 요구하는데, 전체 금액과 비교하면 0.8BTC와 비교해 매우 적은 양의 돈이다. 하지만 어차피 해당 시나리오에서 0.8BTC에 해당하는 전체 금액은 피해자를 속이기 위한 가짜이고, 피해자의 계좌로 이체되는 등의 일은 일어나지 않는다. 다만, 이 수수료를 통해 스캠 공격자는 돈을 얻게 된다. 현재 비트 코인 가격에 따라 전송 수수료(0.001–0.0015 BTC)는 약 $60–$90에 해당한다. 해당 기사 작성 당시까지 공격자의 커미션 지갑으로 전송된 금액은 약 0.1 BTC (약 $ 6,000)에 달했다.
사용자들은 호기심이 생겨도 다른 사람의 계정에 로그인하지 않아야 한다. 또한, 의심스러운 웹 사이트를 방문하는 경우 신뢰할 수 있는 보안 솔루션을 사용하는 등 정보 탈취 위험을 고려해야 한다.
출처 https://www.kaspersky.com/blog/cryptoscam-in-lightshot/39224/ https://www.kaspersky.com/blog/cryptoscam-in-discord-fake-dex-airdrop/39140/ https://www.kaspersky.com/blog/cryptoscam-in-discord-fake-dex-airdrop/39140/ |
