글로벌 사이버 범죄 단속
사이버 범죄 서비스로서의 악성 소프트웨어에 대한 글로벌 단속이 진행되면서, 수천만 달러의 도난 자금이 동결되었습니다. 유로폴은 수요일에 법 집행 기관이 범죄 암호 자산 4,100만 유로(약 4,700만 달러)를 식별하고 동결했다고 밝혔습니다. 이 두 주간의 다국적 작전은 SocGholish, Amadey, StealC라는 세 가지 악성 소프트웨어 패밀리의 인프라를 해체했습니다. 이들 모두 암호화폐 사용자를 주요 목표로 하고 있습니다.
악성 소프트웨어의 작동 방식
StealC는 2023년부터 서비스로 판매되는 정보 탈취기로, 감염된 기기에서 비밀번호, 브라우저 쿠키 및 암호화폐 지갑 데이터를 수집합니다. 이 제어판에는 피해자의 MetaMask 지갑의 시드 문구를 복호화하려고 시도하는 플러그인도 포함되어 있었습니다. Proofpoint의 연구자들이 이 사실을 발견했습니다. Amadey는 초기 발판을 확보하고 추가 악성 소프트웨어를 배포하며, SocGholish는 러시아 그룹 Evil Corp와 연결되어 해킹된 웹사이트에서 가짜 브라우저 업데이트 프롬프트를 통해 사람들을 감염시킵니다. 이들은 함께 지갑이 비워지고 계정이 탈취되며 랜섬웨어 공격으로 이어지는 공격의 전면을 형성합니다.
단속의 성과
경찰은 326개의 서버와 142개의 도메인을 차단하고, 385,000개 이상의 감염된 시스템에서 거의 2,700만 개의 도난된 자격 증명을 회수했으며, 많은 소규모 기업들이 포함된 거의 15,000개의 감염된 웹사이트를 정리했습니다. 이 작전의 파트너인 마이크로소프트는 Amadey와 StealC가 5월 초 2주 동안 전 세계적으로 140,000대 이상의 감염된 컴퓨터와 연결되어 있다고 밝혔습니다.
피해자의 경고 및 대응
정보 탈취기는 도난당한 암호화폐의 주요 경로가 되었으며, 피해자의 장치에서 지갑 파일, 개인 키 및 시드 문구를 조용히 빼내고 있습니다. 이들은 가짜 AI 도구, Steam 배경화면 및 불법 게임 모드 등 다양한 경로를 사용하여 암호화폐 사용자를 목표로 합니다.
노출의 규모는 방대합니다. 지난해 말의 이전 Operation Endgame 작전에서는 피해자로부터 도난당했지만 아직 비워지지 않은 100,000개 이상의 암호화폐 지갑의 로그인 데이터가 발견되었습니다.
마이크로소프트의 디지털 범죄 부서는 별도로 미국의 범죄 조직법에 따라 두 개의 악성 소프트웨어 패밀리를 단일 범죄 음모로 처음으로 다룬 소송을 제기했습니다. Copilot과 같은 AI 도구를 사용하여 악성 소프트웨어를 분석한 조사자들은 Amadey와 StealC가 서로 다른 범죄자에 의해 만들어졌지만 공유 인프라에서 실행된다는 것을 발견했습니다. 이를 통해 마이크로소프트는 두 작전 모두에서 지원자를 RICO 법에 따라 기소하고 200개 이상의 명령 및 제어 서버를 방해할 수 있었습니다. 이후 18,000대 이상의 피해자 컴퓨터를 식별하고 공격자의 통제를 차단하기 시작했습니다.
이러한 단속은 악성 소프트웨어를 완전히 제거하는 경우는 드물며, 운영자는 재편성하는 경향이 있습니다. StealC는 최근 이달에도 새로운 빌드를 배포했습니다. 현재 유로폴과 그 파트너들은 피해자에게 경고를 전달하고 있으며, Have I Been Pwned와 같은 서비스를 통해 사용자가 자신의 자격 증명과 지갑 키가 이미 범죄자의 손에 있는지 확인할 수 있도록 돕고 있습니다.
