Svmuu 소식 마이크로소프트 회사의 위협 인텔리전스 팀은 2026년 2월부터 활동 중인 Windows 암호화 트로이목마 위협을 공식적으로 발표했습니다. 이 악성코드는 “웜 방식의 확산 + 클립보드 탈취 + Tor 익명 통신”을 결합하여 디지털 자산 사용자를 대상으로 공격을 수행합니다. 마이크로소프트 분석에 따르면, 이 악성 프로그램은 위장된 바로가기(.lnk) 파일을 통해 이동식 저장 장치 간에 전파되며, WScript와 ActiveX를 이용해 스크립트 로직을 실행하고, 로컬 Tor 클라이언트를 자동으로 배포하여 127.0.0.1:9050 프록시를 통해 연결한다.onion 숨겨진 서비스 C2 서버를 통해 익명 제어 및 데이터 전송을 수행한다.이 공격 체인에는 클립보드 내용을 지속적으로 모니터링하고, 니모틱과 개인 키를 탈취하며, 스크린샷을 업로드하는 등 다양한 악성 기능이 포함되어 있습니다. 또한 사용자가 암호화폐 주소를 복사할 때 “주소 대체”를 수행하여 대상 주소를 공격자가 제어하는 지갑 주소로 바꾸고, 이를 통해 자금을 탈취합니다. 또한, 이 트로이목마는 웜 전파 기능을 갖추고 있어 USB 메모리 등의 장치에 자동으로 복제되며, 예약 작업을 생성하여 지속적 실행을 가능하게 하고, 기본적인 반분석 기능(디버깅을 회피하기 위해 작업 관리자를 감지)도 갖추고 있습니다. 탐지 측면에서 마이크로소프트는 이를 Trojan:Win32/CryptoBandits 계열로 식별했으며, 행동 특성(예: WScript 비정상 호출, localhost:9050 프록시 트래픽 및 PowerShell 스크린샷 생성 행위)을 통해 차단하고 있습니다. 보안 연구원들은 스크립트 실행 경로 보호 및 로컬 프록시 비정상 트래픽 모니터링에 중점을 둘 것을 권장합니다.