㈜소프트이천

안랩은 ViperSoftX 유포자가 모네로 코인 채굴을 위한 코인 마이너 악성코드까지 설치하고 있는 정황을 확인했다. ViperSoftX는 암호 화폐 지갑 주소를 탈취하는 기능을 포함한 원격 제어 악성코드로, 주로 정상 소프트웨어의 크랙·키젠이나 eBook을 위장한 파일을 통해 유포돼 왔다. 이 과정에서 ViperSoftX뿐만 아니라 QuasarRAT, PureRAT(PureHVNC), ClipBanker 등 원격 제어 및 암호 화폐 지갑 주소 탈취를 노리는 악성코드도 함께 사용했다. 여기에 더해, 최근에는 모네로 코인을 채굴하는 코인 마이너까지 설치하는 사례가 확인된 만큼, 이번 글에서는 ViperSoftX 공격 방식과 최근 동향, 그리고 대응 방안을 함께 살펴보자.

ViperSoftX는 2020년 처음 보고된 이후 전 세계적으로 유포되며 국내에서도 다수의 감염 사례가 확인된 악성코드로, 암호 화폐 지갑 주소 탈취에서 클립보드 변경, 추가 페이로드 설치, 비밀번호 관리자·브라우저 확장 프로그램 등 악용 등으로 지속적으로 기능이 고도화되고 있다. 2024년에는 딥러닝 기반 OCR 엔진 ‘Tesseract’를 활용해 화면 이미지에서 비밀번호나 암호 화폐 지갑 주소를 추출하는 TesseractStealer가 등장했으며, 2025년에도 PureRAT, ClipBanker 등 새로운 악성코드를 결합한 공격이 이어지는 등 ViperSoft 관련 위협은 형태를 바꿔가며 확산 중이다.

2. 악성코드 분석
2.1. 초기 스크립트
ViperSoftX는 감염 대상 시스템에 작업 스케줄러를 등록해 주기적으로 악성 파워셸(PowerShell) 스크립트를 실행한다. 이때 악성 스크립트가 삽입된 위장 파일의 특정 오프셋을 읽어 복호화하거나, 레지스트리에 저장된 파워셸 명령을 불러와 실행하는 구조를 취한다. 이런 기법은 최근까지도 유지되고 있으며, DGA(Domain Generation Algorithm) 방식으로 도메인을 조합해 C&C 주소를 찾거나 DNS의 TXT 레코드를 악용해 정보를 받아오는 등 통신 메커니즘 역시 과거와 유사한 형태를 보이고 있다.

[그림 1] DGA 방식을 활용한 C&C 서버 획득

[그림 2] 다운로드된 암호화된 파워셸 명령

공격 사례에서 확인되는 파워셸 명령은 다음과 같이 두 종류이며 ViperSoftX를 비롯한 다른 악성코드를 설치하는 데 사용된다.

[그림 3] 추가 페이로드 다운로더 스크립트

2.2. ViperSoftX
ViperSoftX는 기존 보고서에서 분석된 유형과 동일한 형태를 유지하고 있다. 추가 명령 실행과 페이로드 설치는 물론, 암호 화폐 지갑 프로그램 관련 윈도우 모니터링, 암호 화폐 지갑 주소를 대상으로 한 클립보드 감시, 시스템 정보 전송 등 다양한 기능을 수행한다.

[표 1] ViperSoftX가 지원하는 명령

ViperSoftX는 이 외에도 또 다른 스크립트를 통해 시스템에 설치된 암호 화폐 지갑 프로그램이나 웹 브라우저 확장 프로그램, 그리고 비밀번호 관리자인 KeePass, 1Password 설치 여부를 모니터링하는 루틴도 지원한다.

[그림 4] 암호 화폐 지갑 및 비밀번호 관리자 모니터링 루틴

2.3. QuasarRAT
QuasarRAT은 닷넷(.Net)으로 개발된 오픈 소스 RAT 악성코드로, 프로세스 및 파일 제어, 시스템 작업, 원격 명령 실행, 파일 업로드 및 다운로드와 같은 원격 제어 기능들을 제공한다. 또한, 키로깅이나 계정 정보 수집과 같은 기능들을 활용해 감염 대상 시스템에 저장된 사용자 정보를 탈취할 수도 있다.

[그림 5] 복호화된 QuasarRAT의 설정 데이터

2.4. PureRAT, PureLogs 다운로더
ViperSoftX 공격자는 주로 QuasarRAT을 이용해 감염 대상 시스템에 대한 제어를 탈취했지만, 2025년에는 PureRAT과 같은 악성코드들이 함께 사용되고 있다. PureRAT은 RAT 악성코드로 파일, 작업, 프로세스, 레지스트리 작업과 같은 원격 제어 기능들뿐만 아니라 HVNC, 원격 데스크톱, 키로깅, 클립보드 하이재킹과 같은 다양한 기능을 플러그인으로 제공해 감염 대상 시스템을 원격에서 제어할 수 있다.

[그림 6] PureRAT의 설정 정보

PureRAT은 PureCoder라는 개발자가 제작하여 판매 중이다. PureRAT 외에도 PureCrypter, PureLogs와 같은 다른 악성코드들이 존재한다. 공격에 사용된 악성코드 중에는 현재 기준 C&C 서버와의 통신이 불가해 알 수 없지만, 인포스틸러 악성코드인 PureLogs를 다운로드하는 것으로 추정되는 유형도 다수 존재한다.

[그림 7] 다운로더의 설정 정보

2.5. 코인 마이너
공격에 사용된 다운로더 중에는 QuasarRAT이나 PureRAT 등 외부에서 추가 페이로드를 다운로드해 동작하는 유형이 있다. 현재 기준 정상적으로 동작은 불가하지만 해당 악성코드는 이런 다운로더로서의 역할뿐만 아니라 코인 마이너 역할을 함께 수행할 것으로 보인다. 내부의 설정 데이터에는 [그림 8]과 같이 XMRig 관련 정보를 포함하고 있는 것이 특징이다.

[그림 8] 코인마이너 관련 설정 데이터

3. 결론
ViperSoftX 공격자는 수년간 전 세계 암호 화폐 사용자를 지속적으로 노려 왔으며, 현재까지도 악성코드를 활발히 유포하고 있다. 이들은 암호 화폐 지갑 정보 탈취와 거래 혼선을 유도하기 위해 다양한 악성코드를 결합해 활용하고 있으며, ViperSoftX에 감염될 경우 원격 제어를 통해 추가 정보 유출 및 2차 피해로 이어질 수 있다. 특히 최근에는 코인 채굴용 코인 마이너를 함께 설치하는 사례도 확인돼, 사용자 시스템 자원이 공격자의 수익 창출 수단으로 악용될 가능성도 커지고 있다.

따라서 사용자는 공식 홈페이지가 아닌 의심스러운 웹 사이트나 자료 공유 사이트에서 다운로드한 소프트웨어 설치를 지양해야 하며, 운영체제와 각종 프로그램에 최신 보안 패치를 신속히 적용해야 한다. 아울러, AhnLab V3 제품을 최신 버전으로 유지해 알려진 악성코드 및 공격 시도를 사전에 차단함으로써 ViperSoftX를 비롯한 암호 화폐 관련 위협에 대한 보안 수준을 강화할 필요가 있다.

출처 : AhnLab