[블록미디어 이은서 기자] 디지털자산(가상자산) 트레이더들을 겨냥한 악성코드가 레딧을 통해 확산되고 있다.
22일(현지시각) 더코인리퍼블릭에 따르면 최근 사이버보안업체 멀웨어바이츠(Malwarebytes)는 공식 X(옛 트위터) 계정을 통해 “최근 레딧을 통해 퍼지는 이번 공격은 인기 트레이딩 플랫폼 트레이딩뷰의 악성 버전을 배포하는 방식으로 이뤄지고 있다”며 “공격자들은 윈도우와 맥 시스템 모두를 감염시키기 위한 별도 변종을 제작했다”고 밝혔다.
멀웨어바이츠는 “악성코드 운영자들은 디지털자산 트레이딩 관련 서브레딧에 트레이딩뷰 프리미엄의 ‘크랙 버전’을 제공한다며 게시물을 올리고 있다”면서 “이들은 프리미엄 기능을 무료로 이용할 수 있다고 속이고 있다”고 설명했다.
해당 게시글에는 다운로드 링크가 포함돼 있으며, 윈도우 사용자에게는 루마 스틸러(Lumma Stealer), 맥 사용자에게는 아토믹 스틸러(Atomic Stealer, AMOS)가 포함된 악성 설치 파일이 제공된다.
두 악성코드는 모두 디지털자산 지갑을 주요 타깃으로 민감한 정보를 탈취하도록 설계된 강력한 정보 탈취형 악성코드다.
AMOS and Lumma info stealers have recently been distributed via Reddit posts targeting Mac and Windows users in the crypto space, draining their wallets and stealing personal data. One of the common lures is a cracked version of the popular trading platform TradingView.
A ???? pic.twitter.com/nRweAYv74x
— Malwarebytes (@Malwarebytes) March 19, 2025
#레딧 커뮤니티에선 사회공학 기법 사용… 사용자 안심시키며 유도
해커들은 단순히 악성 소프트웨어를 게시하는 것에 그치지 않고, 댓글로 사용자들과 직접 대화를 이어가며 신뢰를 유도하는 사회공학 기법을 활용하고 있다. 멀웨어바이츠는 “보안 우려를 제기한 사용자에게 게시자는 ‘맥에서 진짜 바이러스가 있다면 그건 굉장히 드문 일’이라며 안심시키는 댓글을 달기도 했다”는 사례를 소개하기도 했다.
감염된 설치 파일은 메가 같은 일반적인 공유 플랫폼이 아닌 두바이에 본사를 둔 청소 회사의 웹사이트에 업로드돼 있었다. 멀웨어바이츠는 이와 같은 비정상적인 선택은 공격자가 해당 웹사이트를 해킹했거나 아예 직접 운영하고 있을 가능성을 시사한다고 분석했다. 이는 공격자가 자신의 서버를 통해 코드 업로드 및 업데이트를 직접 수행할 수 있도록 하기 위한 구조라는 설명이다.
또 다른 위험 신호로는 파일 배포 방식이 꼽혔다. 윈도우와 맥 버전 모두 이중 압축된 ZIP 파일 형태로, 비밀번호까지 설정돼 있었다.
#기술 분석 결과: 디지털자산 지갑 노린 정교한 데이터 탈취 기능 확인
멀웨어바이츠는 윈도우와 맥용 악성코드 모두 디지털자산 사용자를 정밀하게 타깃으로 하는 기능이 포함돼 있다고 분석했다. 특히 맥용 악성코드는 분석 회피 기능이 강화된 아토믹 스틸러의 새로운 변종으로, 보안 연구자들이 행동을 분석하지 못하도록 설계됐다.
해당 악성코드는 탈취한 데이터를 POST 요청을 통해 세이셸에 위치한 IP 주소 45.140.13.244의 서버로 전송하며, 이 서버는 인증 정보, 지갑 주소, 로그인 자격 증명 등 민감한 데이터를 수집하는 거점 역할을 수행한다.
악성코드는 사용자 기기에서 디지털자산 지갑의 자격 증명, 개인 키, 인증 정보 등 민감한 데이터를 훔친 뒤, 이를 바탕으로 공격자가 자금을 자신의 지갑으로 전송할 수 있도록 한다.
#보안 경고: 무료 소프트웨어 유혹에 주의… 비밀번호 압축파일은 위험 신호
멀웨어바이츠는 디지털자산 사용자들이 유사한 악성코드 캠페인에 노출되지 않기 위해 유의해야 할 몇 가지 주요 경고 신호를 제시했다.
가장 대표적인 경고는 소프트웨어 실행 전에 보안 프로그램을 비활성화하라는 지침이다. 보안 소프트웨어를 끄도록 요구하는 것은 거의 대부분 악성 의도를 나타내는 신호이며, 절대 따라서는 안 된다고 강조했다.
또 비밀번호로 보호된 압축 파일도 경고 신호 중 하나다. 합법적인 소프트웨어 배포처에서도 비밀번호 보호를 사용할 수는 있지만, 악성코드 유포자들은 보안 스캐너가 내부 내용을 분석하지 못하도록 이 방식을 자주 악용한다.
이번 캠페인에서는 윈도우와 맥용 악성코드 모두 이중 압축된 비밀번호 보호 파일로 배포됐으며, 이는 탐지 회피를 위한 목적이라는 것이 멀웨어바이츠의 설명이다.
이번 사례는 디지털자산 커뮤니티 사용자들이 무료 소프트웨어라는 유혹에 속아 보안을 무시할 경우, 자산 전체가 탈취당할 수 있는 리스크를 보여주고 있다. 사용자들은 신뢰할 수 없는 링크나 출처 불명의 프로그램 설치를 지양하고, 보안 솔루션을 항상 최신 상태로 유지해야 한다.
같이 보면 좋은 기사
