악성코드 Stealka의 발견과 배포
11월에 처음 발견된 이 악성코드는 GitHub, SourceForge, Google Sites와 같은 플랫폼을 통해 배포되었으며, 경우에 따라 전문적으로 디자인된 가짜 웹사이트를 통해서도 유포되었습니다. 설치가 완료되면 Stealka는 브라우저 자동 완성 데이터를 수집하고, 100개 이상의 브라우저의 설정 및 데이터베이스에 접근하며, 암호화폐 지갑, 비밀번호 관리자 및 이중 인증 서비스에 사용되는 115개의 브라우저 확장 프로그램에서 정보를 추출할 수 있습니다.
피싱 계획과 범죄 혐의
별도로, 미국 검찰은 브루클린에 거주하는 23세의 로널드 스펙터를 2023년 4월부터 2024년 12월 사이에 약 100명의 Coinbase 사용자로부터 약 1,600만 달러의 암호화폐를 훔친 피싱 계획과 관련하여 31건의 범죄 혐의로 기소했습니다. 사이버 보안 회사 Kaspersky는 암호화폐 사용자, 게이머 및 일반 Windows 사용자에게 위협이 되는 새로운 악성코드 변종을 발견했습니다. 이 악성코드는 “Stealka“라는 이름으로 불리며, 정보 탈취기로 분류됩니다. 이는 감염된 시스템에서 민감한 데이터를 조용히 수집하는 것이 주된 목적임을 의미합니다.
Kaspersky에 따르면, Stealka는 비디오 게임 치트, 크랙 및 모드로 위장하여 공격자들에 의해 적극적으로 배포되고 있으며, 특히 Roblox와 같은 인기 타이틀과 Microsoft Visio와 같은 합법적인 애플리케이션의 불법 소프트웨어와 관련이 있습니다.
Stealka의 배포 방식과 위험성
이 캠페인이 특히 우려되는 이유는 악성코드가 호스팅되고 공유되는 방식입니다. 공격자들은 Stealka를 GitHub, SourceForge, Google Sites와 같은 잘 알려진 플랫폼에 업로드하여 파일에 합법적인 외관을 부여하여 무심코 속아 넘어가는 사용자를 쉽게 오도할 수 있습니다. 경우에 따라 Stealka의 운영자들은 전문적이고 신뢰할 수 있는 것처럼 보이는 완전한 가짜 웹사이트를 만들기까지 했습니다. Kaspersky 연구원 아르템 우시코프는 이러한 사이트가 인공지능 도구를 사용하여 생성되거나 향상될 수 있어 사용자가 실제 소프트웨어 배포 페이지와 구별하기 더 어렵다고 말했습니다.
Stealka의 기능과 피해
설치가 완료되면 Stealka는 온라인 계정을 탈취하고, 암호화폐를 훔치며, 피해자의 컴퓨터에서 암호화폐 채굴기를 무단으로 배포할 수 있습니다. 이 악성코드의 가장 위험한 기능은 Chromium 및 Gecko 엔진으로 구축된 웹 브라우저에 초점을 맞추고 있다는 점입니다. 이는 Chrome, Firefox, Edge, Opera, Brave 등과 같은 널리 사용되는 옵션을 포함하여 100개 이상의 브라우저를 위험에 빠뜨립니다. Stealka는 브라우저 자동 완성 데이터를 목표로 하여 로그인 자격 증명, 주소 및 결제 카드 정보를 캡처할 수 있습니다. 그 외에도 암호화폐 지갑, 비밀번호 관리자 및 이중 인증 서비스에 사용되는 브라우저 확장 프로그램과 관련된 데이터를 특별히 추적합니다.
Kaspersky는 Stealka가 115개의 브라우저 확장 프로그램의 설정 및 데이터베이스에서 정보를 추출할 수 있다고 추정합니다. 약 80개의 암호화폐 지갑 중에는 Binance, Coinbase, Crypto.com, MetaMask, Trust Wallet, Phantom 및 Exodus와 같은 주요 플랫폼이 포함되어 있습니다. Discord 및 Telegram과 같은 메시징 애플리케이션, 이메일 클라이언트, VPN, 비밀번호 관리자 및 게임 클라이언트도 Stealka의 범위에 포함됩니다.
감염 위험 줄이기 위한 권장 사항
감염 위험을 줄이기 위해 Kaspersky는 사용자가 불법 소프트웨어 및 비공식 게임 모드를 피하고, 신뢰할 수 있는 안티바이러스 솔루션을 사용하며, 민감한 데이터를 브라우저에 직접 저장하기보다는 전용 비밀번호 관리자를 사용하는 것을 권장합니다.
피싱 작전과 범죄 기소
악성코드는 암호화폐 사용자를 겨냥한 유일한 위협이 아닙니다. 브루클린 출신의 23세 남성이 미국 전역의 Coinbase 사용자로부터 약 1,600만 달러의 암호화폐를 훔친 대규모 피싱 작전을 조직한 혐의로 수십 건의 범죄로 기소되었습니다. 브루클린 지방 검사 사무소는 금요일 로널드 스펙터가 Sheepshead Bay에 거주하며 1급 중범죄, 자금 세탁 및 관련 금융 범죄를 포함한 31건의 혐의에 직면해 있다고 발표했습니다.
검찰에 따르면 스펙터는 2023년 4월부터 2024년 12월 사이에 약 100명의 피해자를 대상으로 Coinbase의 고객 지원 담당자로 가장했습니다. 기소장에 따르면 그는 사용자에게 연락하여 그들의 계정이 해커의 즉각적인 위협에 처해 있다고 경고했습니다. 두려움과 긴급성을 이용하여 스펙터는 피해자들이 그가 비밀리에 통제하는 새로운 지갑으로 암호화폐를 이체하도록 설득했다고 주장합니다.
자금이 도난당한 후, 당국은 스펙터가 암호화폐 믹서, 토큰 스와핑 서비스 및 온라인 도박 플랫폼을 통해 수익의 출처를 숨기려고 했다고 주장합니다. 수사관들은 이 계획이 일부 피해자에게 파괴적인 손실을 초래했다고 말하며, 그 중 한 캘리포니아 주민은 100만 달러 이상을 잃었고, 버지니아의 피해자는 90만 달러를 초과하는 손실을 입었습니다.
결론 및 경고
스펙터는 “Ronaldd“라는 별명으로 온라인에서 활동했으며, 여러 플랫폼에서 “를 사용했습니다. 검찰은 그가 자신의 범죄에 대해 공개적으로 자랑하고 도박을 통해 최대 600만 달러를 잃었다고 인정한 “Blockchain enemies”라는 텔레그램 채널도 운영했다고 밝혔습니다. 이러한 게시물은 나중에 그에 대한 증거의 일부가 되었습니다. 지금까지 당국은 약 10만 5천 달러의 현금과 약 40만 달러 상당의 암호화폐를 회수했습니다. 수사관들은 조사 중 70명 이상의 피해자와 인터뷰를 진행했으며, 궁극적으로 이 계획의 영향을 받은 100명에 가까운 개인을 확인했습니다.
Coinbase CEO 브라이언 암스트롱은 X에 게시한 글에서 기소를 인정하며, 거래소 고객을 겨냥하는 사기꾼들은 추적되어 책임을 져야 할 것이라고 경고했습니다. 블록체인 조사관 ZachXBT는 2024년 11월에 600만 달러를 잃은 피해자가 도움을 요청한 후 이 사건에서 중요한 역할을 했습니다.
