꿈을꾸는 파랑새

오늘은 실리콘밸리 은행(Silicon Valley Bank)붕괴를 악용한 가상화폐 보상 피싱 사이트 인 svb usdc net(2023.03.16)를 한번 분석을 해 보겠습니다. 먼저 경제 관련 부분은 잘 알지 못하니 해당 부분은 오류가 있을 수가 있습니다. 일단 실리콘밸리 은행(Silicon Valley Bank)은 1983년 10월 17일 설립해 미국 캘리포니아 산타클라라(실리콘밸리)를 거점으로 하였던 은행으로 2023년 3월 10일 파산을 했으며 실리콘밸리에서 가장 큰 상업은행이었고 부유한 벤처 사업가들과 스타트업 회사가 주 고객 이며 벤처기업과 스타트업에 특화된 여러 서비스도 같이 판매하고 있었으며 미국 와인 농장 사이에서도 많은 점유율을 차지하고 있었습니다.

2008년에 미국 재무부로부터 부실 자산 프로그램을 통해 자금지원을 받기도 했지만 계속 확장을 해서 2012년에는 중국 상해포동발전은행과 합작을 발표했으며 2016년에는 25.9%의 시장 점유율을 내며 한때 시장 점유율 기준 미국 최대 은행의 자리를 차지했습니다.

그리고 2022년12월까지만 해도 미국에서 16번째로 큰 은행이었습니다. 잘 지내오다가 2023년 3월 10일 늦은 밤 캘리포니아 주 정부에서 SVB의 은행업허가를 취소하고 파산관재인(receiver)으로 연방예금보험공사(FDIC)를 지정 미국 은행 역사상 두 번째로 큰 규모의 파산사태 상태가 되었으며

연방예금보험공사(FDIC)는 예금자 보호 절차에 들어가 10일 SVB 전 지점을 폐쇄하고 2,090억 달러(약 280조 원)에 달하는 자산을 압류 그리고 블랙 먼데이 될 것 같았고 여기서 엎친 데 덮친 격으로 뉴욕의 시그니처 은행 역시 실리콘밸리 은행이 파산하고 며칠도 채 안 된 한국시각으로 3월 13일 오전 파산선고 재무부, 연방준비제도, 연방예금보험공사가 발표한 공동 성명에 따르면 모든 예금주는 현지 시각 13일부터 예금 전액에 접근
결국은 파산의 원인은 다음과 같을 것입니다.
대출 위험 부담
실리콘밸리 은행은 기업 대출에 많은 비중을 두고 있었으면 그러나 기업 대출금액의 상당수가 대출금 상환 불이행 등 대출 위험 부담을 하고 있었음 미국 주택시장 붕괴로 말미암은 금융위기 이후, 대출금 상환 불이행이 증가하면서 실리콘밸리 은행의 재무적 위기 상황은 더욱 악화
부실 자산 거래
실리콘밸리 은행은 부실 자산을 금융 상품으로 판매하는 등의 부실 자산 거래에 많은 비중을 두고 있으면 그러나 이러한 자산 거래는 불확실성이 크며, 실리콘밸리 은행의 재무 건전성을 악화시킬 가능성
운영 비용 부담
실리콘밸리 은행은 창업 기업에 대출을 제공하고, 창업 기업과의 협력 관계를 유지하는 등 신기술 기업을 지원하기 위해 많은 인력과 자금을 투자 결과 운영 비용 부담이 커졌으며, 이는 실리콘밸리 은행의 재무적 위기 상황을 더욱 악화
피싱 사이트 유포 사이트는 다음과 같습니다.

https://svd.usdc(.)net

피싱 사이트 경고
피싱 사이트 경고

일단 해당 피싱 사이트는 이 SVB 사태를 악용해서 SVB 고객에게 은행이 회수 프로그램의 목적으로 USDC를 배포하고
있다고 해서 청구하려면 CLICK HERE TO CLAIM< 버튼을 클릭하면 스캔 시 Metamask, Exodus 및 Trust Wallet 암호화 지갑 훼손하는 QR 코드가 나타나며 해당 QR 코드를 통해서 사용자 가상화폐를 훔치는 역할을 합니다. 그리고 웹사이트 접속을 시도하면 다음과 같은 경고문이 나옵니다.

SVB 피싱 사이트 정보
SVB 피싱 사이트 정보

Warning
Suspected Phishing
This website has been reported for potential phishing.
Phishing is when a site attempts to steal sensitive information by falsely presenting as a safe source.

SVB 피싱 사이트
SVB 피싱 사이트

웹 소스에서는 다음과 같은 자바스크립트가 있습니다.

SVB 피싱 사이트 소스 코드
SVB 피싱 사이트 소스 코드

</script>
<script type="text/javascript">
var appI(n)sights=window.appInsights||function(config)
{function t(config){i[config]=function(){var t=arguments;i.queue.push
(function(){i[config].apply(i,t)})}}var
i={config:config},u=document,e=window,o="script",
s="AuthenticatedUserContext",h="start",c="stop",l="Track",
a=l+"Event",v=l+"Page",r,f;

setTimeout(function(){var t=u.createElemen(t)(o);t.src=config.url||
"https://az416426.vo.msecnd(.)net/scripts/a/ai.0.js";u.getElementsByTagName(o)[0].
parentNode.appendChild(t)});try{i.cookie=u.cookie}catch(y){}for(i.queue=[],r=["Event","Exception","Metric","PageView","Trace",
"Dependency"(]);r.length;()t()"track"+r.pop());return t("set"+s),
t("clear"+s),t(h+a),t(c+a),t(h+v),t(c+v),t("flush"),
config.disableExceptionTracking||(r="onerror",t("_"+r),f=e[r](,e)[r]=
function(config,t,u,e,o){var s=f&&f(config,t,u,e,o);
return s!==!0&&i["_"+r](config,t,u,e,o),s}),i}({instrumentationKey:"08895aba-cfb3-49ac(-)b6d2-5c692d0941c4",sdkExtension:"a"});window.appInsights=appInsights;appInsights.q(u)eue&&appInsights.queue.length===0&&appInsights.trackPageView();</script>'

이걸 해석하면 다음과 같습니다.
Microsoft Azure Application Insights를 사용하여 웹 애플리케이션의 사용자 모니터링을 수행하는 JavaScript 코드입니다.
주요 기능은 다음과 같습니다.
애플리케이션 인사이트 객체 생성: var appInsights=window.appInsights||function(config){...}
구성 객체 설정: var i={config:config},u=document,e=window,o="script",s="AuthenticatedUserContext",h="start",c="stop",l="Track",a=l+"Event",v=l+"Page"
구성 객체의 속성 설정: i.cookie=u.cookie, i.queue=[]
애플리케이션 인사이트 객체의 함수 설정: t(config), _onerror(config,t,u,e,o), trackEvent, trackException, trackMetric, trackPageView, trackTrace, trackDependency, setAuthenticatedUserContext, clearAuthenticatedUserContext, startTrackEvent, stopTrackEvent, startTrackPage, stopTrackPage, flush
애플리케이션 인사이트 SDK 로딩: setTimeout(function(){...})
예외 추적 활성화: config.disableExceptionTracking||(r="onerror",t("_"+r),f=e[r],e[r]=function(config,t,u,e,o){...})
애플리케이션 인사이트 SDK 시작: appInsights.queue&&appInsights.queue.length===0&&appInsights.trackPageView();
해당 코드를 사용하면 애플리케이션에서 발생하는 다양한 이벤트를 모니터링하고 추적할 수 있습니다. 이를 통해 애플리케이션의 성능, 에러 및 사용자 활동을 추적하고 개선할 수가 있게 자바스크립트가 있는 것을 볼 수가 있습니다.

SVB 피싱 사이트 가상화폐 QR 코드
SVB 피싱 사이트 가상화폐 QR 코드

해당 QR 코드를 캡처해서 해당 QR 코드를 해독해 보면 다음과 같이 연결이 됩니다.

SVB 피싱 사이트 가상화폐 피싱
SVB 피싱 사이트 가상화폐 피싱

wc:8b7c50a1-bbd6-4386-8192-e8915e7e9628@1?bridge=https%3A%2F%2Fb.bridge(.)walletconnect(.)org&
key=c568a11d3a007fcd471a6f5b75e94c928083d974739155b11e845077e1a4eea1

그리고 2023-03-15 17:03:06 UTC 기준으로 VirusTotal(바이러스토탈)에서 탐지하는 보안 업체들은 다음과 같습니다.
CyRadarMalicious
Emsisoft:Phishing
ESTsecurity:Phishing
Fortinet:Phishing
Kaspersky:Phishing
Netcraft:Malicious
Sophos:Malware
alphaMountain(.)ai:Suspicious
Google Safebrowsing,Eset 신고했으며 Microsoft Defender SmartScreen 에서는 정상적으로 차단하고 있습니다. 언제나 이야기하지만 이런 피싱 사이트 및 악성코드들은 기본적으로 사회적 큰 이슈를 가지고 사람들을 노리고 있습니다. 항상 기본적으로 브라우저에 있는 보안 기능과 백신 프로그램(안티바이러스)에 있는 보안 기능들을 활성화해서 사용을 하시는 것이 안전하게 피싱 같은 것에 낚이지 않는 방법입니다.
일단 간단하게 SVB 피싱 사이트 에 대해 알아보았습니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band