악성코드 Lumma Stealer의 배포
사이버 보안 회사 DNSFilter의 연구에 따르면, 악의적인 행위자들이 가짜 캡차 프롬프트를 사용하여 파일 없는 Lumma Stealer 악성코드를 배포하고 있습니다. 이 프롬프트는 그리스의 한 은행 웹사이트에서 처음 발견되었으며, Windows 사용자에게 이를 복사하여 실행 대화 상자에 붙여넣고 Enter 키를 누르도록 요청합니다.
악성코드의 감염 및 영향
DNSFilter는 이 회사의 고객들이 3일 동안 가짜 캡차와 23회 상호작용했으며, 프롬프트를 접한 사람의 17%가 화면의 단계를 완료하여 악성코드의 전달이 시도되었다고 보고했습니다. DNSFilter의 글로벌 파트너 전도사인 Mikey Pruitt는 Lumma Stealer가 감염된 장치에서 자격 증명 및 기타 민감한 데이터를 검색하는 형태의 악성코드라고 설명했습니다.
“Lumma Stealer는 즉시 시스템을 스캔하여 수익화할 수 있는 모든 것을 찾아냅니다. 브라우저에 저장된 비밀번호와 쿠키, 저장된 2FA 토큰, 암호화폐 지갑 데이터, 원격 접근 자격 증명, 심지어 비밀번호 관리자의 금고까지 포함됩니다,”라고 그는 Decrypt에 말했습니다.
악성코드의 사용 및 범위
Pruitt는 악의적인 행위자들이 훔친 데이터를 다양한 목적으로 사용하며, 이는 보통 금전적 이익으로 귀결된다고 설명했습니다. 예를 들어, 신원 도용 및 “재정적 도난이나 사기 거래를 위한 온라인 계정 접근”과 같은 경우가 있습니다. 또한 암호화폐 지갑에 접근하는 경우도 포함됩니다.
“이 하나의 경로를 통해 얼마나 많은 손실이 발생했는지 말할 수는 없지만, 이 위협은 비악성 사이트에서도 존재할 수 있습니다,”라고 그는 설명했습니다.
MaaS의 예로서의 Lumma Stealer
Lumma Stealer는 단순한 악성코드가 아니라 Malware-as-a-Service (MaaS)의 예로, 보안 회사들은 최근 몇 년 동안 악성코드 공격의 증가에 책임이 있다고 보고하고 있습니다. ESET의 악성코드 분석가 Jakub Tomanek에 따르면, Lumma Stealer의 운영자들은 기능을 개발하고 악성코드 탐지를 피하는 능력을 개선하며, 악성코드를 호스팅할 도메인을 등록하고 있습니다.
“그들의 주요 목표는 서비스를 운영 가능하고 수익성 있게 유지하는 것이며, 제휴사로부터 월간 구독료를 수집하는 것입니다. 사실상 Lumma Stealer를 지속 가능한 사이버 범죄 비즈니스로 운영하고 있습니다,”라고 말했습니다.
법적 대응 및 지속적인 위협
사이버 범죄자들이 악성코드를 개발하고 그에 따른 인프라를 구축할 필요가 없기 때문에 Lumma Stealer와 같은 MaaS는 끈질기게 인기를 끌고 있습니다. 5월에 미국 법무부는 악의적인 행위자들이 Lumma Stealer 악성코드를 운영하기 위해 사용하던 5개의 인터넷 도메인을 압수했으며, Microsoft는 비공식적으로 2,300개의 유사 도메인을 삭제했습니다. 그러나 보고서에 따르면 Lumma Stealer는 5월 이후 다시 나타났으며, Trend Micro의 7월 분석에서는 “표적 계정의 수가 6월과 7월 사이에 꾸준히 정상 수준으로 돌아왔다”고 밝혔습니다.
경제적 손실과 데이터 유출
Lumma Stealer의 매력 중 일부는 구독료가 종종 월간으로 저렴하다는 점입니다. “다크 웹 포럼에서 $250 이하로 제공되는 이 정교한 정보 도둑은 사이버 범죄자에게 가장 중요한 것, 즉 암호화폐 지갑, 브라우저에 저장된 자격 증명 및 이중 인증 시스템을 목표로 합니다,”라고 Nathaniel Jones가 말했습니다. Jones는 Lumma Stealer의 악용 규모가 “우려스럽다”고 말하며, 2023년에는 약 3,650만 달러의 손실이 추정되었고, 2개월 동안 40만 대의 Windows 장치가 감염되었다고 전했습니다.
“하지만 진정한 우려는 단순한 숫자가 아닙니다. 그것은 다층적인 수익화 전략입니다,”라고 그는 말했습니다.
결론
Lumma는 단순히 데이터를 훔치는 것이 아니라, 체계적으로 브라우저 기록, 시스템 정보, 심지어 AnyDesk 구성 파일을 수집한 후 모든 것을 러시아가 통제하는 지휘 센터로 유출합니다. Lumma Stealer의 위협을 더욱 높이는 것은 훔친 데이터가 종종 “트래퍼 팀”에 직접 공급된다는 점입니다. 이 팀은 자격 증명의 도난 및 재판매를 전문으로 합니다. “이로 인해 단일 감염이 은행 계좌 탈취, 암호화폐 도난 및 초기 침해 이후에도 지속되는 신원 사기를 초래하는 파괴적인 연쇄 효과가 발생합니다,”라고 Jones가 덧붙였습니다.
DNSFilter는 악성코드 서비스를 이용하는 악의적인 행위자들이 여러 지역에서 운영되고 있을 수 있다고 언급했습니다. “이러한 악의적인 활동에는 여러 국가의 개인이나 그룹이 포함되는 것이 일반적입니다,”라고 Pruitt는 말하며, “국제 호스팅 제공업체와 악성코드 배포 플랫폼의 사용으로 인해 특히 두드러진다”고 덧붙였습니다.
