사이버 보안 경고: Pudgy Penguins 사칭 피싱 사이트
사이버 보안 회사 Malwarebytes Labs는 화요일, Pudgy Penguins의 새로 출시된 브라우저 게임인 Pudgy World를 사칭하는 가짜 웹사이트가 암호화폐 지갑 비밀번호를 훔치려 하고 있다고 경고했다. Malwarebytes의 보고서에 따르면, 이 피싱 작전인 pudgypengu-gamegifts[.]live는 사용자들을 속이기 위해 암호화폐 지갑 인터페이스의 매우 설득력 있는 복제품을 사용하고 있다.
보고서의 저자이자 수석 악성코드 연구 엔지니어인 Stefan Dasic은 “일부 기능은 암호화폐 지갑에 저장된 디지털 수집품 및 게임 내 아이템과 연결되어 있습니다. 이는 공식 게임이 때때로 플레이어에게 아이템 소유권을 확인하거나 추가 기능을 잠금 해제하기 위해 암호화폐 지갑을 연결하도록 요청한다는 것을 의미합니다.”라고 말했다.
그는 이어 “피싱 사이트는 그 단계를 악용합니다. 방문자가 이 가짜 사이트에서 자신의 지갑을 선택하면, 해당 지갑의 잠금 해제 화면처럼 보이는 것을 보여줍니다. 사용자에게는 그들이 이미 신뢰하는 실제 암호화폐 지갑 소프트웨어처럼 보입니다.”라고 덧붙였다.
피싱 범죄의 현황
피싱은 여전히 가장 널리 퍼진 사이버 범죄 형태 중 하나이다. FBI의 인터넷 범죄 신고 센터(IC3)에 따르면, 피싱 및 스푸핑 사기는 2024년에 193,407건의 신고를 기록했으며, 보고된 손실액은 7천만 달러를 초과했다. 이 특정 사이트의 피해자가 발생했는지는 알려지지 않았다.
경고는 Pudgy Penguins NFT 브랜드와 연결된 무료 브라우저 게임인 Pudgy World의 출시 일주일 후에 나왔다. 3월 10일에 라이브로 출시된 이 게임은 플레이어가 가상 세계를 탐험하고, 펭귄 아바타를 커스터마이즈하며, 퀘스트를 완료할 수 있도록 하며, 일부 기능은 사용자가 암호화폐 지갑을 연결해야 한다.
Pudgy Penguins의 성장과 보안 위협
Pudgy Penguins는 2022년 CEO Luca Netz에 의해 인수된 이후 빠르게 성장하여 NFT 컬렉션에서 소매 제품, 모바일 게임, 현재는 브라우저 기반 게임으로 확장되었다. 이 컬렉션의 바닥 가격은 CoinGecko에 따르면 4.25 ETH(9,500달러)로, 2024년 12월의 최고가인 36.33 ETH의 88.3%에 불과하다.
Dasic은 이 캠페인의 타이밍이 의도적이며, 게임 출시와 암호화폐 지갑 보안 관행에 익숙하지 않은 신규 사용자 유입과 일치한다고 말했다. “타겟으로 삼은 지갑의 범위도 상당하다. 이 캠페인은 거의 모든 지갑의 맹점을 남기지 않는다.”고 그는 말했다. “피해자가 Ethereum, Solana 또는 멀티 체인 자산을 보유하고 있든, 그들을 기다리는 설득력 있는 위조물이 있다.”
Dasic은 “11개의 지갑 전용 UI 위조물을 만드는 것은 간단한 작업이 아니다.”라고 덧붙이며, 이는 “잘 자원화된 위협 행위자” 또는 이 공격 유형을 위해 제작된 상업적 피싱 키트를 재사용하고 있음을 시사한다고 말했다.
피싱 방지 및 안전 수칙
이러한 전술은 공격자들이 합법적인 도메인과 매우 유사한 도메인을 등록하거나 검색 광고를 조작하여 진짜처럼 보이게 하는 암호화폐 관련 사기에서 흔히 발생한다. 예를 들어, 사기꾼들은 사람들이 약간의 차이를 알아차리지 않기를 바라며 .gov 대신 .qov가 포함된 도메인을 사용하여 공식적인 이메일을 보낼 수 있다.
Pudgy Penguins는 이전에도 가짜 사이트를 사용하는 사기꾼들의 표적이 되었다. 2024년 12월, 블록체인 보안 회사 Scam Sniffer는 공격자들이 악성 Google 광고를 사용하여 Pudgy Penguins 플랫폼을 사칭하고 사용자들을 속여 지갑을 연결하도록 유도하고 있다고 경고했다.
사용자들은 신뢰할 수 있는 북마크를 통해서만 공식 사이트에 접근하고, 소셜 미디어나 직접 메시지에서 링크를 클릭하지 않도록 하며, 합법적인 지갑 비밀번호 프롬프트는 웹페이지 콘텐츠 내에 나타나지 않는다는 것을 기억해야 한다. Malwarebytes는 또한 의심스러운 사이트에 자격 증명을 입력한 경우 즉시 지갑 비밀번호를 변경하고, 타협이 의심되는 경우 자금을 새 지갑으로 이동하는 것을 고려할 것을 권장했다.
Pudgy Penguins는 논평 요청에 응답했다.
