새로 발견된 악성코드 계열인 Stealka는 게임 치트, 소프트웨어 크랙, 인기 모드로 위장해, 신뢰받는 다운로드 플랫폼과 가짜 웹사이트를 이용해 사용자가 스스로 기기를 감염시키도록 속여 암호화폐를 훔치고 있다.
Kaspersky의 사이버 보안 연구진은 보고에서 이 윈도우 기반 정보 탈취 악성코드가 최소 11월부터 활발히 유포되며, 브라우저 데이터, 로컬에 설치된 애플리케이션, 브라우저 기반 및 데스크톱 암호화폐 지갑을 표적으로 삼고 있다고 밝혔다.
일단 실행되면 Stealka는 온라인 계정을 가로채고, 암호화폐 보유분을 탈취하며, 일부 경우에는 암호화폐 채굴기를 추가로 설치해 감염 시스템에서 추가 수익을 얻을 수 있다.
게임 치트와 불법 복제 소프트웨어를 통한 유포
Kaspersky 분석에 따르면 Stealka는 주로 사용자가 자발적으로 다운로드하고 실행하는 파일을 통해 전파된다.
이 악성코드는 상용 소프트웨어의 크랙 버전이나 인기 게임의 치트·모드로 위장해 GitHub, SourceForge, Softpedia, Google Sites 같은 널리 사용되는 플랫폼을 통해 유포되는 경우가 많다.
여러 사례에서 공격자는 합법적인 저장소에 악성 파일을 업로드해, 플랫폼의 신뢰도를 이용해 의심을 낮췄다.
동시에, 연구진은 불법 복제 소프트웨어나 게임 스크립트를 제공하는 전문적으로 제작된 가짜 웹사이트도 관찰했다.
이러한 웹사이트는 다운로드가 안전하다는 인상을 주기 위해 거짓 백신 검사 결과를 표시하는 경우가 많다.
실제로는 파일 이름과 페이지 설명이 미끼 역할만 할 뿐이며, 다운로드되는 콘텐츠에는 항상 동일한 정보 탈취 페이로드가 포함돼 있다.
브라우저·지갑·로컬 애플리케이션을 표적
설치가 완료되면 Stealka는 Chromium과 Gecko 기반 웹 브라우저에 강하게 초점을 맞추며, 100개가 넘는 브라우저 사용자를 데이터 탈취 위험에 노출시킨다.
이 악성코드는 저장된 로그인 자격 증명, 자동 완성 데이터, 쿠키, 세션 토큰을 추출해 공격자가 이중 인증을 우회하고 비밀번호 없이 계정을 탈취할 수 있도록 한다.
이렇게 탈취된 계정은 게임 커뮤니티를 포함해 악성코드를 추가로 유포하는 데 활용된다.
Stealka는 또한 암호화폐 지갑, 비밀번호 관리자, 인증 도구와 연계된 브라우저 확장 프로그램도 노린다. 연구진은 MetaMask, Trust Wallet, Phantom 같은 주요 암호화폐 지갑 확장 프로그램과 Bitwarden, Authy, Google Authenticator 등 비밀번호·인증 서비스에서 데이터를 수집하려는 시도를 확인했다.
브라우저를 넘어, 이 악성코드는 수십 종의 데스크톱 애플리케이션에서 설정 파일과 로컬 데이터를 수집한다.
여기에는 암호화된 개인 키와 지갑 메타데이터를 저장할 수 있는 독립형 암호화폐 지갑, 메신저 앱, 이메일 클라이언트, VPN 소프트웨어, 노트 앱, 게임 런처 등이 포함된다.
중요한 이유
이 정보에 대한 접근은 공격자가 자금을 훔치고, 계정 자격 증명을 재설정하며, 추가 악성 활동을 은폐하는 것을 가능하게 한다.
악성코드는 추가로 시스템 정보를 수집하고 감염 기기의 스크린샷을 캡처한다.
Kaspersky는 Stealka 캠페인이 불법 복제, 게임 관련 다운로드, 금융 사이버 범죄 간의 경계가 점점 흐려지고 있음을 보여준다며, 사용자가 신뢰할 수 없는 소프트웨어 출처를 피하고 치트, 모드, 크랙 파일을 고위험 파일로 취급해야 한다고 경고했다.