크로미움 기반 브라우저들 특히 집중해 노려...암호화폐 지갑도 다양하게 털리고
이름은 오스키 스틸러...아직 개발 중에 있지만 이미 상당한 공격 효율 보여주고 있어

[보안뉴스 문가용 기자] 새로운 정보 탈취형 멀웨어가 발견됐다. 인터넷 브라우저와 암호화폐 지갑 애플리케이션들을 감염시키는 유형으로, 아직 개발이 완료된 것으로 보이지는 않는다고 한다. 그럼에도 현재 북미 지역에서 여러 피해자들을 발생시키고 있는 상황이다.


[이미지 = iclickart]

이 멀웨어에는 오스키 스틸러(Oski Stealer)라는 이름이 붙었다. 현재 다크웹 사이버 포럼에서 활발하게 광고되고 있다. 특히 러시아 포럼에서 인기가 높다고 보안 전문가인 아디티야 수드(Aditya Sood)는 설명한다. 오스키 스틸러는 크리덴셜, 신용카드 번호, 지갑 계정 정보 등을 훔쳐내는 기능을 가지고 있는 것으로 나타났으며, 현재까지 벌써 5만여 개의 비밀번호를 훔치는 데 성공했다고 한다.

오스키 스틸러는 드라이브 바이 다운로드(drive-by downloads), 피싱 공격 등 여러 ‘표준’ 감염 기법을 통해 퍼지고 있는 중이다. 여러 종류의 시스템에 설치되어 작동할 수 있을 정도로 호환성이 좋다고 알려져 있다. x86과 x64 버전의 윈도우 7, 8, 8.1, 10에서 작동하고, 관리자 권한이 없어도 설치가 된다.

오스키 스틸러가 정보를 취합하는 브라우저는 크롬, 오페라, 코모도 드래곤, 얀덱스, 비발디, 파이어폭스, 페일 문, 사이버폭스이며, 암호화폐 지갑 중에서는 비트코인 코어(Bitcoin Core), 이더리움(Ethereum), 일렉트럼LTC(ElectrumLTC), 모네로(Monero), 일렉트럼(Electrum), 대시(Dash), 라이트코인(Litecoin), 지캐시(ZCash) 등이 있는 것으로 알려져 있다.

오스키 스틸러는 레지스트리와 브라우저의 SQ라이트 데이터베이스에서 크리덴셜을 추출하기도 하고, DLL 주입을 통해 브라우저 프로세스를 후킹하면서 중간자 공격을 실시하기도 한다. 저장된 세션 쿠키도 이들이 주로 노리는 것 중 하나다. 데이터 유출은 HTTP POST 요청을 통해서 이뤄진다. 이를 통해 전송되는 데이터는 ProgramData라는 폴더 내에 저장된다.

수드는 이를 분석하는 과정 중에 공격자들의 C&C 서버에 접근하는 데 성공했다. “현재 범죄자들의 행위에 대한 정보를 입수할 수 있었습니다. C&C 서버가 마련된 도메인은 지난 달에 만들어졌고, 최근까지 업데이트가 진행됐습니다. 러시아에 있는 서버에 호스팅 되어 있으며, 인터넷에만 연결되어 있다면 아무나 이 C&C로 접근할 수 있습니다.”

처음 C&C 서버에 접근했을 때 약 88개의 로그가 있었다고 수드는 말한다. “공격자들이 탈취한 비밀번호는 43336개 저장되어 있었습니다. 그런데 10시간 정도 후에 로그는 249개로, 비밀번호는 49942개로 증가한 상태였습니다. 그러더니 금방 268개와 50726개로 늘어나 있더군요.”

아마도 러시아 해커들이 활용하고 있을 가능성이 높은 오스키 스틸러의 피해자는 현재까지 미국에 집중되어 있다. 애플리케이션으로 보자면 크로미움을 기반으로 한 브라우저에서 대부분의 정보가 새나갔다(전체의 97%). “대부분 구글 계정 정보가 공격자들의 손에 넘어갔습니다. 구글 계정을 집중적으로 노리는 것 같습니다.”

수드는 “아직까지 오스키 스틸러가 완성품으로 보이지는 않는다”고 말한다. “판매되고는 있지만, 앞으로 더 많은 업그레이드가 약속되어 있기도 합니다. 또한 완성되어 있지는 않지만 이미 높은 효율을 보여주고 있기도 하고요. 빠른 대처가 필요합니다.”

3줄 요약
1. 정보 탈취형 멀웨어 오스키 스틸러, 새롭게 등장.
2. 현재 러시아 포럼을 중심으로, 다크웹에서 활발히 광고되고 있음.
3. 이미 각종 비밀번호 5만여 개 탈취 성공. 브라우저와 암호화폐 지갑이 집중 공격 대상.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>