가짜 소프트웨어 설치 프로그램으로 관리자 권한 획득 후 활성 세션 탈취
미국과 독일 등 세계 전역서 확산... 기업 내부망 침투 위한 교두보 활용

[보안뉴스 김형근 기자] 마이크로소프트(MS)를 사칭해 시스템 권한을 탈취하고 기업의 핵심 정보를 빼가는 신종 악성코드 ‘마이크로스틸러’(MicroStealer)가 세계 통신과 교육 분야를 공격하고 있다.


[출처: gettyimagesbank]

글로벌 보안연구소 애니런(Any.Run)에 따르면 2025년 12월 처음 포착된 이 악성코드는 출현한 지 몇 주 만에 세계 샌드박스 환경에 퍼질 정도로 확산 속도가 빨랐다. 공격자들은 시스템의 기술적 취약점을 파고드는 대신, 가짜 소프트웨어 설치 프로그램과 사회공학적 기법을 활용해 사용자로부터 직접 실행 권한을 획득하는 방식을 취했다.

마이크로스틸러는 브라우저 자격 증명이나 세션 쿠키, 데스크톱 스크린샷, 암호화폐 지갑 파일, 디스코드(Discord)와 스팀(Steam) 같은 플랫폼 계정 데이터 등을 노렸다. 이 악성코드는 ‘로코베셋업’(RocobeSetup[.]exe)이란 설치 프로그램으로 위장해 백그라운드에서 일렉트론(Electron) 애플리케이션을 몰래 배포하는 방식을 취했다.

주로 ‘게임 런처’로 위장해 사용자 계정 컨트롤(UAC) 프롬프트를 띄우며 관리자 권한을 요구해 시스템을 장악했다. 권한을 얻으면 자바 런타임 환경(JRE)을 설치하는데, 때 실행 파일 이름을 ‘miicrosoft[.]exe’로 교묘하게 오기해 사용자가 정상 프로세스로 오해하도록 유도했다.

핵심 페이로드인 ‘소프트(soft.jar)’ 파일은 실행 전 가상 머신이나 분석 도구를 감지하면 즉시 작동을 멈추는 우회 기능을 갖췄다. 탈취한 정보는 디스코드 웹후크(Discord Webhook)와 공격자 제어 서버라는 이중 채널을 통해 유출된다.

애니런은 이번 악성코드가 미국과 독일에서 집중적으로 관측되고 있다며 주의를 당부했다. 또, 유출된 계정 정보는 다크웹 거래를 넘어 비즈니스 이메일 침해나 랜섬웨어 유포를 위한 중요한 발판 쓰일 가능성이 높다고 덧붙였다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>