본문으로 건너뛰기
10만 건 반환 - 악성 광고 분석
조사 • 읽는 데 5~7분 소요

$100K Returned — Malvertising Scam Foiled

러시아 사기꾼들이 악성 광고와 정보 탈취형 악성코드를 이용해 한 암호화폐 프로젝트를 사칭했습니다. 저희는 이 사기 행위를 탐지하고, 지갑 접근 권한을 복구하며 10만 달러 이상을 환급했습니다. 추가로 회수된 자금은 @_SEAL_Org에 기부되었습니다. 아래는 세부 내역, IOC 및 교훈입니다.

$100,000 returned to victim - funds traced, assets frozen, funds returned infographic
$100,000 returned to victim - funds traced, assets frozen, funds returned infographic
원본 게시일: Medium — PhishDestroy

개요

한 암호화폐 프로젝트가 합법적인 광고 제휴로 위장한 사회공학적 공격의 피해를 입었습니다. PhishDestroy는 지갑 접근 권한을 복원하고 자산을 회수했습니다. 10만 달러 이상 유출된 자금에 대해, 독립성을 유지하기 위해 제시된 보상금을 외부 기관으로 재지급했다.

알아두어야 할 사항

  • 지갑은 이미 해킹당했고, 자금은 이미 이체된 상태였다.
  • 접속이 복구되었고 $100K+ 가해자와 함께 있는 것을 막혔다.
  • 이 프로젝트는 보상금을 제안했으나, 이는 거절되었고 대신 다음으로 전달되었습니다. @_SEAL_Org 대신.
  • 이 작업은 유급 고용 형태가 아닌, 운영자 차원의 독자적인 활동으로 수행됩니다.

사기 수법의 작동 방식

  • 피해자는 한 암호화폐 게임에 대한 제휴·광고 제안을 받았습니다.
  • 이 공격은 신빙성 있어 보였습니다. 전문적인 웹사이트, X(Twitter) 계정 운영, 그리고 진짜처럼 보이는 화상 통화 등이 있었기 때문입니다.
  • 통화 도중, 공격자들은 자료에 접근하기 위해 “워크플레이스 뷰어”를 설치해 달라고 요청했습니다.
  • “시청자”는 정보 탈취 악성코드.
  • 공격자들은 자금을 인출하고, 체인 간에 토큰을 교환하며, 자산을 자신의 지갑으로 옮겼다.

취해진 대응 조치

  1. 침투 사실이 확인되어 추가 이동을 저지했다.
  2. 정당한 소유자에게 지갑 접근 권한을 복구했습니다.
  3. 공격자의 수신 지갑에 대한 통제권을 확보하고 피해자 팀에 이관했습니다.
  4. 잔여 위험을 줄이기 위한 체계적인 후속 조치.
결과: 접근 권한이 복구되었고, 제어권이 회복되었으며, 공격자는 차단되었습니다.

사고 발생 후 보안 강화

기기 보안

  • 감염된 기기를 안전하게 처리하기 위한 단계별 안내
  • 네트워크 격리, 세션 취소, 인증 정보/키 순환, 깨끗한 재구축 계획

운영 환경 구축

  • 지갑 운영 전용으로 마련된 새롭고 깔끔한 작업 공간
  • 최신 OS, 제조사 전용 다운로드, 하드웨어 지갑, 최소한의 확장 프로그램, 별도의 브라우저 프로필, 2단계 인증

법의학 준비

  • 디스크 스냅샷 및 시스템/애플리케이션 로그 수집 지침
  • 향후 법적 조사에 대비한 증거 보존

“애드버팅(Adverting)” 이해하기

광고 이는 범죄자들이 일반적인 업무 절차(광고 구매, 파트너십, 홍보 등)를 흉내 내어 악성 “클라이언트”를 설치하도록 속이는, 비즈니스 방식의 사회공학적 기법입니다.

흔히 나타나는 경고 신호:

  • "크리에이티브를 동기화하려면 당사의 광고 관리자/도우미 프로그램을 설치하세요"
  • "통화 시 당사가 제공하는 맞춤형 Zoom/Telegram 클라이언트를 사용해 주세요"
  • "보안 뷰어를 통해 당사의 미디어 키트/비밀유지계약서(NDA)를 열어보세요"
주요 규칙: 알 수 없는 출처의 워크플로우에 특수한 클라이언트/뷰어/업데이터가 필요한 경우, 기본적으로 악의적인 의도가 있다고 간주하십시오. 공식 공급업체에서 제공하는 다운로드 파일만 사용하십시오.

보상과 자립

  • 회수액이 초기 손실액을 상회했기 때문에 이 프로젝트에서는 보상금을 지급했습니다.
  • PhishDestroy는 현상금을 받지 않기로 했다.
  • 잉여금 전액은 다음으로 배정되었습니다. @_SEAL_Org.
  • 이를 통해 독립성을 유지할 수 있습니다 — 자금 지원이나 의무가 전혀 없습니다.

핵심 원칙

  • 오로지 독립성만 보장되며, 예산이나 조건은 전혀 없습니다.
  • 논의보다는 결과에 중점을 둔 접근 방식.
  • “특정 고객”이나 검증되지 않은 소프트웨어에 대한 반대.
  • 위협 행위자가 아닌 피해자에게 도움이 되는 선택적 정보 공개.
  • 공격자 인프라에 대한 직접적인 압박.

실무적 권고 사항

프로젝트 및 팀을 위한

  • 신원이 확인되지 않은 제3자가 제공하는 Workplace 뷰어/클라이언트/업데이터는 절대로 설치하지 마십시오.
  • Zoom 및 Telegram은 반드시 공식 판매처 사이트에서만 다운로드하십시오.
  • 지갑, 브리지, 에어드롭 관련 스폰서 링크는 피하십시오.
  • 시드를 오프라인으로 저장하는 하드웨어 지갑을 선호하세요.
  • 보안 침해가 발생한 경우: 세션을 취소하고, 자금을 이동하며, 키를 교체하고, 비밀 키를 재발급한 뒤, 즉시 도움을 요청하십시오.

지역사회를 위해

결론

이미 자금이 이체되었음에도 불구하고, PhishDestroy 접근 권한 복원 또한 공격자가 탈취한 자산을 보유하지 못하도록 차단했습니다. 이 조직은 보상금을 거절하고 여유 자금을 다른 곳에 배분함으로써, 신속하고 효과적인 사고 대응에 중점을 둔 무보수·독립적인 운영 모델을 유지하고 있습니다.

#Adverting#WalletRecovery#StealerMalware#SocialEngineering#CryptoSecurity

이 조사 결과 공유하기

X / Twitter Telegram 레딧 LinkedIn

관련 조사

암호화폐 피싱의 실체: 실제 시드 문구 탈취 프로그램 8종 리버스 엔지니어링 분석
심층 취재
암호화폐 피싱의 실체: 실제 시드 문구 탈취 프로그램 8종 리버스 엔지니어링 분석
$0 Takedowns: How We Disrupt Phishing Infrastructure
조사
$0 Takedowns: How We Disrupt Phishing Infrastructure
사기꾼들의 실체: 4가지 사기 백엔드 분석
조사
사기꾼들의 실체: 4가지 사기 백엔드 분석
투명성 공지. PhishDestroy는 비영리 독립 프로젝트입니다. 당사의 연구 결과에는 사기 인프라 및 이를 가능하게 하는 서비스에 대한 내재적 편향이 반영되어 있을 수 있습니다. 독자 여러분께서는 모든 자료를 비판적이고 독립적인 시각으로 평가해 주시기를 당부드립니다. 투명성 선언문 전문 보기 →