마이크로소프트의 사고 대응 팀은 디지털 지갑 확장을 타겟으로 하여 암호화폐 보유에 손상을 주기 위해 설계된 새로운 원격 액세스 트로이 목마(RAT)을 식별했습니다. StilachiRAT라는 이름의 멀웨어는 시스템 정보를 수집하고 로그인 자격 증명을 훔치며 여러 플랫폼에 걸쳐 암호화폐 지갑에서 데이터를 추출할 수 있습니다.
트로이 목마는 특히 구글 크롬의 적어도 20개 인기 있는 암호화폐 지갑 확장을 목표로 하며, Metamask, Trust Wallet, Coinbase Wallet, Phantom과 같은 널리 사용되는 옵션을 포함합니다. 마이크로소프트의 조사는 멀웨어가 설치된 확장을 식별하기 위해 레지스트리 설정에 접근할 수 있는 능력을 가지고 있음을 밝혔습니다. 식별 후, 공격자에게 피해자의 디지털 자산에 접근할 수 있는 민감한 데이터를 추출할 수 있습니다.
"StilachiRAT는 구글 크롬 브라우저의 특정 암호화폐 지갑 확장 목록을 대상으로 합니다. 다음 레지스트리 키의 설정에 접근하여 어떤 확장이 설치되어 있는지 유효성을 검사합니다,"라고 마이크로소프트는 3월 17일 보안 공지에서 밝혔습니다. 멀웨어는 아직 광범위한 배포에는 이르지 않았지만, 보안 전문가들은 그 정교함과 잠재적 영향에 대해 상당한 우려를 표명합니다.
멀웨어는 피해자의 운영 체제, 하드웨어 식별자, 활성 세션에 대한 정보를 수집하는 탐색 단계로 공격 주기를 시작합니다. 그런 다음 크롬에 저장된 비밀번호를 타겟으로 하여 자격 증명을 훔치고, 사용자가 자주 지갑 키나 비밀번호와 같은 민감한 정보를 복사하는 클립보드 데이터를 모니터합니다. 이러한 다단계 접근은 공격자가 도난을 일으키기 전에 포괄적인 데이터를 수집할 수 있게 합니다.
마이크로소프트의 보안 팀은 StilachiRAT의 고급 반포렌식 기능이 특히 우려된다고 강조했습니다. 이 트로이 목마는 이벤트 로그를 삭제하고 탐지 메커니즘을 피하기 위해 시스템 조건을 평가할 수 있습니다. 이러한 회피 기법은 표준 보안 도구로 식별하고 제거하기가 상당히 어렵습니다.
위험을 완화하기 위해, 마이크로소프트는 즉시 여러 보안 조치를 시행해야 한다고 이용자들에게 권고합니다. "일부 경우, 원격 액세스 트로이 목마는 합법적인 소프트웨어나 소프트웨어 업데이트로 위장할 수 있습니다. 항상 소프트웨어 개발자의 공식 웹사이트나 신뢰할 수 있는 소스에서 소프트웨어를 다운로드하세요," 라고 마이크로소프트는 권고에서 강조했습니다. 이 회사는 또한 마이크로소프트 디펜더에서 실시간 보호를 활성화하고 SmartScreen이 있는 브라우저를 사용하여 악성 웹사이트 차단을 돕는 것을 권장합니다.
추가 보안 권장 사항에는 모든 계정에 다중 인증 기능을 활성화하고 모든 애플리케이션에서 현재 소프트웨어 업데이트를 유지하는 것이 포함됩니다. 이러한 기본적인 보안 관행은 이와 유사한 위협에 대한 취약성을 상당히 줄일 수 있습니다.
이러한 발견은 암호화폐와 관련된 범죄에 대한 우려가 커지고 있는 가운데 나온 것입니다. Chainalysis의 2025 암호화폐 범죄 트렌드 보고서에 따르면, 현재 불법 암호화폐 거래는 연간 400억에서 500억 달러 사이에 육박합니다. 이러한 자금은 랜섬웨어 공격, 정교한 멀웨어 작전, 기타 사이버 범죄 활동을 포함한 다양한 방법을 통해 획득됩니다.
보고서는 또한 2024년 불법 암호화 거래의 규모가 510억 달러를 초과할 수 있으며 보고 기간 간 평균 연간 증가율은 25%에 이를 수 있음을 예측합니다. 이 트렌드는 암호화폐 채택이 전 세계적으로 계속 확산됨에 따라 디지털 자산을 목표로 한 공격의 정교함이 증가하고 있음을 시사합니다.
보안 분석가들은 암호화폐 보유가 더욱 일반화됨에 따라 사용자들이 이러한 자산을 손상시키기 위해 고안된 점점 더 타겟팅된 공격을 예상해야 한다고 강조합니다. StilachiRAT의 발견은 사이버 범죄자들이 디지털 화폐 보유자들을 착취하기 위해 사용하는 전술의 상당한 진화를 나타냅니다.