오토잇으로 제작한 코인 마이너 악성코드 ‘Zephyr’ 유포중

오토잇으로 제작한 코인 마이너 악성코드 ‘Zephyr’... 코인 채굴 및 마이닝 풀·지갑 조회
안랩 시큐리티 인텔리전스 센터 “출처가 불분명한 파일 다운로드 및 실행 시 주의 필요”

[보안뉴스 박은주 기자] 최근 프리웨어 자동화 언어인 Autoit(오토잇)으로 제작된 코인마이너 악성코드 ‘Zephyr’가 유포되고 있다. Zephyr는 공격자 임의대로 코인을 채굴하며, 마이닝 풀과 지갑을 조회하는 등 추가 피해로 이어질 수 있어 각별한 주의가 요구된다.

안랩 시큐리티 인텔리전스 센터(ASEC)에 따르면 파일은 ‘WINDOWS_PY_M3U_EXPLOIT_2024.7z’ 이름으로 유포되고 있으며, 압축 해제 시 여러 스크립트와 실행 파일을 생성한다. 그 중 ‘ComboIptvExploit.exe’ 파일은 NSIS(Nullsoft Scriptable Install System) 설치파일이며 내부에는 2개의 자바스크립트 파일이 있다.

해당 파일을 실행하면 ‘%temp%’ 경로에 ‘Explorer.js’, ‘internet.js’ 파일을 생성하고, 두 자바스크립트 파일은 wscript.exe를 통해 실행된다. ‘internet.js’ 파일은 내부에 BASE64 인코딩된 문자열을 디코딩해 실행 파일을 생성한다. 이 실행 파일은 ‘%temp%’ 경로에 ‘x.exe’ 이름으로 생성되고, 오토잇으로 작성된 프로그램으로 확인됐다.

컴파일된 오토잇 스크립트 파일에는 압축파일인 ‘asacpiex.dll’, 정상 ‘7za.exe’ 인 ‘CL_Debug_Log.txt’ 두 개 파일이 포함돼 있다.

‘JDQJndnqwdnqw2139dn21n3b312idDQDB’를 패스워드로 전달한 후, 압축 해제해 컴파일된 오토잇 스크립트 파일인 ‘64.exe’, ‘32.exe’를 ‘%temp%’ 경로에 생성한다. 시스템의 CPU 아키텍처가 x86인 경우 ‘32.exe’를, x64인 경우 ‘64.exe’를 ‘%USER%\AppData\Roaming\Microsoft\Windows\Helper.exe’로 복사한다.

복사된 Helper.exe는 Zephyr 암호화폐를 채굴하는 코인 마이너 악성코드이며, 추출한 스크립트에서 사용된 마이닝 풀과 지갑 주소 모두 확인할 수 있다. 마이닝 풀에 접속해 지갑을 조회하면 최근에 출금한 이력을 확인할 수 있었다.

ASEC는 출처가 불분명한 파일 다운로드 및 실행 시 주의가 필요하며 사용하고 있는 백신을 최신 버전으로 업데이트해야 한다고 당부했다.
[박은주 기자(boan5@boannews.com)]

AI 및 AI 보안 솔루션이 보안 인력의 업무에 어떤 식으로 영향을 미칠것이라고 생각하시나요
	부족한 인력 보충: 만성적인 인력 부족 문제를 해결하는 보완재 역할을 하고 있다(100% 대체는 불가)
	업무 영역의 분리: AI는 대량 데이터 처리를, 전문가는 고도의 전략적 판단을 맡는 등 역할이 완전히 다르다
	업무 총량의 전이: 단순 업무는 줄었으나, AI 모델 관리·검증 등 새로운 형태의 운영 업무가 발생해 전체 업무량은 비슷하다
	인력 대체 가능: 단순 반복 업무를 넘어 분석/판단 영역까지 대체하여 인력을 줄일 수 있다
	신뢰도 부족: 아직은 AI의 오탐이나 환각(Hallucination) 우려로 인해 사람이 일일이 재검토해야 하므로 실질적인 도움은 적다